Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich des Themas Absicherung von Webmailern in einem Whitepaper angenommen. Man möchte die Anbieter mehr in die Pflicht nehmen.
E-Mail-Dienste – insbesondere Webmailer (E-Mail-Dienste, die über einen Webbrowser genutzt werden) – sind laut BSI ein integraler Bestandteil des Alltagslebens. Sie ermöglichen das Erstellen von E-Mails, ihren Versand an beliebige Kontakte sowie die Verwaltung eines Postfachs. Nicht zuletzt würden E-Mailadressen als Zugang für viele weitere Dienste genutzt, weiß das BSI. Damit seien diese Webmailer eine wesentliche Schnittstelle digitaler Kommunikation und Identitätsverwaltung.
Schutz der Verbraucher gegen Sicherheitsrisiken gefordert
Der Schutz der Verbraucherinnen und Verbraucher vor Sicherheitsrisiken wie zum Beispiel unsicheren Authentisierungsverfahren und Identitätsdiebstahl ist bei Webmail-Anbietern jedoch mitunter lückenhaft umgesetzt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nun ein Whitepaper veröffentlicht, das Anforderungen an Sicherheit, Transparenz und Benutzerfreundlichkeit von Webmailern festlegt, die die Sicherheit der Verbraucherinnen und Verbraucher systematisch und zukunftsorientiert erhöhen.
Das Whitepaper betrachtet dabei nicht nur technische Sicherheitsfunktionen, sondern auch Usability, Transparenz und Vertrauen als wesentliche Bestandteile digitaler Souveränität. Marktsichtungen des BSI haben ergeben, dass zahlreiche E-Mail-Dienste in ihrer Standardkonfiguration allein auf Passwörter setzen, um die Zugänge ihrer Kundinnen und Kunden zu schützen – zumeist ohne Zwei-Faktor-Authentisierung. Eine solche müssen Nutzende oftmals erst in den Einstellungen aktivieren. Auch sind nachweislich sichere und praktische Alternativen zum Passwort, wie etwa die passwortlose Authentisierung mittels Passkey, immer noch wenig verbreitet oder werden nicht proaktiv angeboten.
Caroline Krohn, Fachbereichsleiterin Digitaler Verbraucherschutz sagt dazu: "Ein elementarer Teil der E-Mail-Sicherheit lastet derzeit noch auf den Schultern der Anwenderinnen und Anwender. Sie sollen sich mit Zwei-Faktor-Authentisierung, Passkey und Verschlüsselung auskennen. Wir sehen die Verantwortung bei den Anbietern: Diese müssen wirksame Verfahren bezüglich Authentisierung, Verschlüsselung, Spam-Schutz und Accountwiederherstellung bereitstellen, die ohne größeres Zutun der Nutzenden funktionieren und einen elementaren Sicherheitsgewinn darstellen. Nur wenn Schutzmaßnahmen verständlich, interoperabel und alltagstauglich sind, entfalten sie ihre volle Wirkung."
Das nun publizierte Whitepaper Anforderungen an sichere, transparente und benutzerfreundliche Webmail-Dienste ist laut BSI zugleich Ansporn für E-Mail-Dienste und eine Einladung zur Zusammenarbeit: Seit Jahresbeginn hat das BSI den Dialog mit den E-Mail-Anbietern intensiviert – dieser Austausch soll nun ausgebaut werden.
MVP: 2013 – 2016
Webmail und Verschlüsselung schließt sich aus. Verschlüsselung ist nur dann sicher, wenn der Nutzer die Hoheit über die privaten Keys hat, diese also in keinem Falle beim Mailhoster liegen dürfen. Das ist meines Wissens mit dem Browserzugang zum Mailclient nicht möglich, sondern nur mit einem expliziten Mailclient unter der Kontrolle des Nutzers. Auch sondt ist das Papier mehr oder weniger nutzlos. Solange die Nutzer kostenlose Maildienste haben wollen, ist Sicherheit nicht machbar. Irgendwie müssen die Mailhoster das schließlich monetarisieren, z. B. indem sie die Nachrichten zu Werbezwecken oder KI Training scannen. Davon ist im Papier keine Rede. IMHO ist das Bullshit
Ich halte das nicht für Bullshit, sondern für einen Tribut an die Realität. Bei "alles oder nichts" stehen die Chancen gut, auf ewig im "nichts" hängen zu bleiben.
Mails, die im System des Anbieters verschlüsselt gespeichert sind und nur während der Sitzung entschlüsselt werden, vielleicht sogar im Browser selbst mit nur lokal beim Kunden vorhandener Information, sind nicht ganz so sicher wie rein lokale Aktion, aber weit besser als das, was bisher üblich ist.
> Das ist meines Wissens mit dem Browserzugang zum Mailclient nicht möglich, sondern nur mit einem expliziten Mailclient unter der Kontrolle des Nutzers
Dein Wissensstand ist nachweislich falsch.
PGP Mails können lokal im Browser des Users ver- und entschlüsselt werden:
https://addons.mozilla.org/de/firefox/addon/mailvelope/
In wie weit man einem Webbrowser den Zugriff auf private PGP Schlüssel gwährt, ist natürlich eine andere Sache. Ich würde das nicht nutzen wollen.
Aber wer bin ich schon, ich nutze meinen eigenen Mailserver.
"PGP Mails können lokal im Browser des Users ver- und entschlüsselt werden:
https://addons.mozilla.org/de/firefox/addon/mailvelope/"
Da muss man aber schon ein bisschen technisches Talent haben, um das zu benutzen. Wird nicht jeder hinbekommen.
DE-Mail war eine der vielen weiteren Totgeburten, was staatlich verregelte Ende-Ende-Verschüsselung angeht.
Nicht wenige SMTP hosts blockieren eingehende verschlüsselte Mails komplett. Man kann sie ja nicht mehr auf Viren oder Spam scannen.
Das behördliche (Zwangs-)Postfach will auch praktisch keiner in der Bevölkerung haben. Egal unter welchem Namen – Bayern-Mail, NRW-Mail, Deutschland-Mail, Schleswig-Holstein-Mail man diese Sau gerade nochmals versucht durchs Dorf zu treiben.
e-Mail ist ein Internetstandard, der so ist wie er ist. Seit vielen vielen Jahrzehnten.
Was maßen sich die beim BSI da eigentlich an? Sie haben keinerlei Einflussmöglichkeiten auf diesen Standard, der halt nur einen kleinsten gemeinsamen Nenner umfasst. Alles darüber hinaus ist KANN ohne zu MÜSSEN.
Genauso wenig wie die Anbieter von Mailboxen diesen Standard irgendwie beeinflussen und verändern können.
Diesen Anbietern jetzt versuchen den Scharzen Peter zuzuschieben und ihnen dabei auch noch zu drohen ist schlicht und einfach eine weitere Unverschämtheit aus dem Inkompetenzstadl BSI.
Wer etwas einfach Ende-Ende verschlüsselt verschicken will verwendet heute eh andere Software wie z. B. Signal oder Whatsapp.
So, sieht es wohl aus…
Betr. "Da muss man aber schon ein bisschen technisches Talent haben, um das zu benutzen.":
Also wen das unter https://mailvelope.com/de/help/anywhere beschriebene Prozedere vor Probleme stellt, hat vermutlich auch Schwierigkeiten als Fussgänger im Strassenverkehr.
Zeit wird es. Dann werden E-Mail Postfächer eben etwas kosten müssen.
Es würde schon der Sicherheit dienen, wenn diese Webmailer die wahre Absenderadresse anzeigen würden! Aber aus lauter Bequemlichkeit wird in der Übersicht nur der Name gezeigt, den sich der unbekannte Absender selbst gegeben hat. Dass die vermeintliche Bankmail aber von irgendeiner ausländischen Domain stammt, erfährt der IMAP-Mailleser allenfalls, wenn er die Mail angeklickt hat – oder, nachdem sein Geld weg ist, von der Kripo.
Aber die Mailanbieter haben da keinerlei Interesse, was zu ändern. Sie wollen Oma-tauglich sein, machen sich aber Enkeltrickbetrüger-tauglich.
Dass es sinnvoll ist, wenn man sich E-Mail-Postfächer was kosten lässt, ist nichts Neues. Bloß haben GMX/Web.de vor einigen Jahren mit überteuerten Premium-Abofallen die Leute verschreckt. Es gibt aber kleinere, leider viel zu wenig bekannte Maildienstleister, schon ab 12 €/Jahr. Doch wenn die mal versuchen, ihre Preise zu erhöhen, hagelt es gleich wutentbrannte Bewertungen. Da bleibt wenig Spielraum für Sicherheits-Verbesserungen.
Die Umsetzung ist teilweise katastrophal… Es wären da echt mehr Optionen im Kundencenter wünschenswert, auch was Anhänge und Co. betrifft. Infos an Nutzer erfolgt auch oft nicht, damit die sich mal über ein paar Themen Gedanken machen.
Jetzt sind wir genau in der Situation, dass dieses "wegducken" jetzt den Anbietern auf die Füße fällt.
Mein Anbieter hat zwar "Viren" und "Spamschutz", aber Umsetzung ist "Naja" und ich kann diesen nicht mal deaktivieren oder den Ordner einstellen. Die Mails landen im Junk-Ordner was wieder dazu führt, dass mein Mail-Client diese nicht als Spam registriert, da mein Mailclient nur Mails vom Posteingang prüft.
Ähm, den "Junk"-Ordner abonnieren und/oder bspw. mittels Regel eine Sortierung in den Spam-Ordner des Mail-Clients sortieren oder gleich ganz aussortieren ist keine Option?
Wobei ich mich auch frag', welchen Sinn das nochmal vom Client prüfen lassen von schon als Spam deklarierten Mails hat. 🤔
Das macht schon Sinn, denn es kommt durchaus mal vor, das eine Email fälschlich in den Spamordner einsortiert wird, obwohl die kein Spam ist.
Soweit ich das auffasse, ist hier die Nutzung im Privatbereich beschrieben und dafür kann man ja auch den abonnierten Junk-Ordner untersuchen – da wird wohl der in dem Client integrierte Spamfilter wohl auch nichts "entspammt" zurück sortieren, oder?
Aber man bekommt die im Spam einsortierte Mail, ohne sich erst im Webclient einloggen und die betreffende Mail ent-spammen zu müssen. Das dürfte hier gemeint sein.
Falsch positive Mails im Spamordner zu belassen führt ja auch nicht zu einem verbesserten Lernen des serverseitigen Spamfilters (falls man bei einigen Betreibern von "lernen" überhaupt sprechen darf).
Manche sehen schon Abzocke, wenn eine App einmalig 5€ kostet, und kochen bei 5€ im Jahr. Ein Erbe der Umsonst-Kultur, die Internet und Smartphones gross machten.
Die selben Leute schieben vielleicht mehrmals wöchentlich diesen Betrag zwecks Aufbau eines Bierbauchs über den Tresen. Ohne das finanziell in Relation zu setzen.
„Dass die vermeintliche Bankmail aber von irgendeiner ausländischen Domain stammt, erfährt der IMAP-Mailleser allenfalls, wenn er die Mail angeklickt hat…"
Verstehe ich nicht. Von allen Absendern, die nicht in meinem Adressbuch stehen, bekomme ich die volle Mailadresse angezeigt. Sollte jeder vernünftige Mailclient so handhaben. Und was hat das mit „IMAP-Mailleser" zu tun?
+ Betr. "bekomme ich die volle Mailadresse angezeigt. Sollte jeder vernünftige Mailclient so handhaben.":
Und mit der selben Nonchalance übergehst Du beim nächsten Kunden/Auftraggeber dann wohl auch den Umstand, wenn es dort nicht so ist.
+ Betr. "Und was hat das mit „IMAP-Mailleser" zu tun?":
Gegenfrage: Inwiefern siehst Du IMAP4-Server als prinzipbedingt immun gegen Spoofing-Attacken an?
"Es gibt aber kleinere, leider viel zu wenig bekannte Maildienstleister, schon ab 12 €/Jahr."
Ja, bspw. mal beim deutschen Anbieter https://mail.de/de/ probieren. 😉
Mal sehen, wie lange ich noch via POP3 mailen kann (ja, hier im Text geht es um Webmailer), bevor ich gezwungen werde, eine 2FA-App auf meinem Android-Telefon zu installieren, um Zugriff auf mein Mailkonto zu bekommen. Und diese App gibt es offiziell dann nur im Google Playstore oder aus unsicherer "Alternativquelle". Und damit besteht letztlich Zwang zur Registrierung bei Google, um Mailen zu können.
Solange "mehr Sicherheit" unausgesprochen fast immer "Zwang zu Google oder Apple" heißt, ist das für mich ein Grund, darauf zu verzichten, so lange ich noch kann. Dann muss das >20-stellige Mailpasswort aus einem wilden Zeichenmix halt doch alleine ausreichen.
Ich hätte nichts gegen 2FA auch beim Mailen, wenn es ohne Google-Zwang und ohne Behinderung bei der Nutzung ablaufen würde. Gäbe es da was außer einer Google-freien, auch vom Mailhoster selbst als apk angebotenen App (die es wohl kaum irgendwo geben wird)?
Dürfte dann eher auf Verzicht hinauslaufen, so wie bei mir schon bei Online-Zahlungen mit Kreditkarte, die ich dank 2FA-App der Sparkasse nur via Google nicht machen kann. Die BahnCard trage ich als 2 mal gefaltetes A4 mit mir herum, irgendwie habe ich mich dran gewöhnt. Wie lange wird das noch möglich sein?
„Mal sehen, wie lange ich noch via POP3 mailen kann" verstehe ich nicht. Was soll an POP3 besser sein als an IMAP? Ich sehe bei IMAP nur Vorteile und keine Nachteile. POP3 habe ich schon vor Ewigkeiten (>20 Jahre) aufgegeben.
Webmail verwende ich fast nie. Meist nur, um bei meiner Büro-Mail Abwesenheitszeiten einzustellen (ich verweigere Outlook, weshalb ich hier zu Webmail greifen muss).
Vermutlich ist gemeint: IMAP = Abhängigkeit von Serververfügbarkeit für E-Mail Zugriff, wenn nicht lokal extra gespeichert wird…
Und ich sehe bei POP3 diverse Vorteile:
– Die Mails liegen bei mir lokal.
Damit habe ich die Hohheit über die Daten und nicht der Mailhoster.
Wenn der Mailhoster z.B. einen Cybervorfall erleidet, dann sind bei IMAP u.U. alle meine Mails weg. Wenn ich die lokal habe, betrifft obiges Scenario nur die Mails, die ich noch nicht abgerufen habe.
– Ich bin nicht an das Speicherlimit der Mailhoster gebunden.
– Ich kann auf meine Mails auch dann noch zugreifen, wenn z.B. der Internetzugang gestört ist oder der Mailhoster eine Störung hat.
Ich muß meine Mails auch nicht von verschiedenen Geräten aus im Zugriff haben.
Das wäre für mich der einzige Vorteil von IMAP.
Die Mails liegen bei mir ebenfalls lokal. Und ich muss nicht alles auf dem Mailserver lassen. Was erledigt ist wird lokal archiviert. Man muss sein Postfach ja nicht zumüllen. Hatte mit Speicherlimit noch nie Probleme. Da ich von verschiedenen Standorten und mit verschiedenen Endgeräten zugreife habe ich per IMAP immer Zugriff auf die benötigten Daten. Und wenn man bei POP mal eine Mail über webmail versendet, weil man gerade mal unterwegs ist, bleibt die gesendete Mail auf dem Server. Bei IMAP habe ich sie trotzdem (auch) lokal. Sehe hier keinerlei Vorteile bei POP.
Wie auch R.S. sehe ich bei POP3 nur Vorteile gegenüber IMAP. Ich hatte IMAP zwar mal auspropiert, aber nach einem Mailverlust sofort wieder auf POP3 umgestellt. Bei IMAP ist das Risiko eines Mailverlustes deutlich höher, denn lösche ich vorschnell oder versehentlich (per Regel oder manuell) eine Mail über IMAP und leere auch den Papierkorb, ist sie sofort von allen Mailclients verschwunden. Bei Pop3 fehlt sie hingegen nur auf dem betreffenden Mailclienten und selbst nach Löschen des Papierkorbes bleibt sie 12 Monate auf dem Server, wenn man es so eingestellt hat.
Das Problem mit gesendeten Mails habe ich so gelöst, dass ich mir grundsätzlich per BCC eine Kopie sende, die ich dann auf den anderen Clients nach dem Empfang per Regel oder manuell in "gesendet" verschiebe.
Einen Mailverlust hatte ich in den vielen Jahren IMAP noch nicht. Und wenn ich den Papierkorb gleich lösche brauche ich ihn auch nicht. Dann kann ich gleich einstellen, dass Mails sofort gelöscht werden. Außerdem erhalten die Mails beim Löschen nur einen Löschvermerk und werden erstmal nur nicht angezeigt. Solange kann ich sie auch wieder herstellen. Zudem mache ich regelmäßig Backups. Den Stand von gestern habe ich auf jeden Fall.
🫵 Genau so!
Bei meinem Mailclient habe ich bei POP3 zwei Möglichkeiten des Mailabrufs:
1. Der Standard bei den meisten Mailclients mit POP3: Abholen und auf dem Server löschen.
Dann hat man die Mail nur lokal.
2. Abholen und auf dem Server lassen.
Dann hat man lokal eine Kopie der Mail und kann auf die Mail auf dem Server auch noch mit anderen Clients zugreifen und per POP, IMAP oder Webmail drauf zugreifen.
3.) Abholen und eine (kurze) Zeit auf dem Server lassen, danach wird sie automatisch gelöscht.
Das Szenario wurde oben schon angesprochen, und genau so mache ich das auch.
Ja, ich auch – und zwar auf zwei Rechnern.
Ich möchte meine Mails nicht länger als nötig auf dem Server des Hosters lassen.
Hmm…ich muß mich aus Erfahrung hier auch @ich bin´s (das franz. Akzent-Zeichen "Accent Aigu" ist hier falsch benutzt! 😉) anschließen und wer Mail-Verlust mit der IMAP-Methode erleidet, hat eindeutig sowohl nicht eine immer angeratene Datensicherung oder aber leider das nicht richtige Nutzungsszenario betrieben. 🤷♂️
Ich hatte noch NIE mit IMAP einen Datenverlust erlebt, dagegen auf POP basierend bei meiner Kundschaft bereits mehrmalig und dabei war dann auch oft eine kohärente Daten-Migration aufwändig – absolut unnötig!
Also wenn du IMAP im nem richtigen Mailclient nutzt, liegen die Mails bei IMAP bei dir und beim Hoster… Beim POP sind sie nach Abruf beim Hoster weg (in der Standardeinstellung, kann man auch ändern)… mit IMAP hast praktisch gleich nen Backup deiner Mails
;-P
Wenn du mit IMAP Datenverlust hast hast was falsch gemacht!
Howdy, ja es ist eine blöde Unsitte im Web, die eMail-Adresse als Benutzername zu verwenden; dafür dient ggf. ein weiteres Textfeld. Als Benutzername gebe ich gerne ebenfalls ein langes Passwort ein. Wer übrigens noch ein eMail-Programm für seinen Win-PC sucht, darf auf mein inzwischen zur Freeware gewordenes LAN-eMail zugreifen. Ebenfalls Freeware ist mein Passwort-Manager mit Hash-512 und AES-256 Verschlüsselung. Meine Software wird bei deutschen Providern inländisch gehostet. Die Computerbild konnte nicht sagen, wo die Passwort-Manager, welche sie anbietete programmiert wurden.
https://bt-soft.de/emailpro.html
https://bt-soft.de/passwort.html
Naja, POP3 und IMAP haben ihre Vor- und Nachteile.
Wenn ich in einem KMU im Team arbeite, dann ist IMAP perfekt, wenn ich alleine arbeite, dann POP3.
Für private gibt es den Mailstor privat zur Archivierung, für KMU andere Lösungen, die auch free sein können. Mailstore ist jedoch ein guter Anbieter auch für POP3 / IMAP Protokolle.