Autor
Kira Urschinger
Kira Urschinger; Foto: SWR3 / Nadine Luft
Stand:

Die Bundesnetzagentur kritisiert Gmail für den laschen Umgang in Sachen Datenschutz. Wir klären, wie sicher andere E-Mailanbieter sind und welche Irrtümer bezüglich Spam-Mails, Betrugsmails und Sicherheit kursieren.

Irrtum 1

Wenn ich eine Mail nur anschaue, aber keinen Anhang öffne, bin ich sicher.

Die meisten von uns wissen: Eine E-Mail, in der ein Anhang ist, den wir nicht zuordnen können, sollten wir erst einmal skeptisch begegnen. Wenn auch der Absender unbekannt ist, sollte man den Anhang also lieber unberührt lassen. Damit ist man aber noch längst nicht sicher, denn viele Mails werden heute im HTML-Format verschickt. Im sogenannten Quell-Code der Mail kann ein schädlicher Code versteckt sein, der bereits beim Öffnen der Mail – also beim bloßen Anschauen – aktiviert wird.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät daher, die Anzeige von E-Mails im HTML-Format zu deaktivieren. Das geht in jedem Postfach in den Einstellungen. So wird die Mail nur im Reintext angezeigt. Das kann zwar dazu führen, dass Mails erst einmal unvollständig erscheinen oder bestimmte Teile nicht angezeigt werden, per Mausklick kann ich aber die Anzeige aktivieren und damit die Inhalte vollständig angucken. Diesen Klick auf die Schaltfläche sollte man nur machen, wenn man den Absender der E-Mail kennt und ist damit noch ein Stück sicherer im eigenen Postfach unterwegs.

Irrtum 2

Meine Accounts sind besonders sicher, wenn ich so oft wie möglich mein Passwort ändere.

Die BSI-Experten raten zur Regelung des Passwortgebrauchs nur dazu, das Passwort zu ändern, wenn es in fremde Hände geraten sein könnte. Das steht im aktuellen Grundschutz-Kompendium der Behörde.

Wurde mein Passwort gehacked? Überprüfen auf haveibeenpwned.com

Aber nicht nur das: Auch die dort bisher aufgeführte Verpflichtung, feste Regeln für die Länge und die Komplexität von Passwörtern vorzuschreiben, ist verschwunden.

Bereits seit Jahren sind viele Sicherheitsexperten der Ansicht, dass solche Regeln eher schaden als nützen. „Ein gutes Passwort kann man bedenkenlos über Jahre hinweg nutzen“, schreibt das Magazin Heise Security. „Das regelmäßige Ändern führt eher dazu, dass man schwache Passwörter benutzt und diese beispielsweise nach einem Schema (geheim1, geheim2, ...) erzeugt.“ Also lieber ein wirklich sicheres Passwort nutzen und es länger behalten als auf einfache Passwörter umzusteigen.

Das gilt insbesondere für Passwörter beim E-Mail-Postfach. Denn bei den meisten Plattformen ist es ja so: Wenn man das Passwort vergessen hat, dann lässt man sich eine E-Mail zuschicken, mit der ein neues Passwort festgelegt werden kann. Das ist aber ein riesiges Sicherheitsproblem: Denn wenn eine fremde Person an den Login zum E-Mail-Postfach kommt, dann kann quasi jedes Passwort geändert oder neu vergeben werden.

Wenn es dir schwerfällt, komplizierte Passwörter zu merken, kann ein Passwort-Manager helfen.

Irrtum 3

Auf Spam-Mails kann man bedenkenlos antworten.

Das ist falsch. Denn im Spam können nicht nur Werbeangebote landen, sondern auch sogenannte Phishing-Mails, die den Empfänger unter Vorspiegelung falscher Tatsachen dazu bringen wollen, Zugangsdaten zu Online-Shops oder Zahlungsdiensten preiszugeben.

Der Tipp: Sofort löschen und auf keinen Fall antworten, wenn du den Absender nicht kennst. Denn sobald du auf solch eine E-Mail antwortest, weiß der Versender, dass die Adresse gültig und aktiv ist. Das kann dazu führen, dass du noch mehr Spam bekommst.

Das BSI rät dazu, eine zweite E-Mail-Adresse aufzumachen, um im Internet einzukaufen. So kannst du die Werbe-Mails auf ein Postfach routen und das einfach unangetastet lassen – inklusive der Phising-Mails, die sich dazwischen schummeln.

Irrtum 4

Spam werde ich los, indem ich auf den Link zum Löschen aus dem Verteiler klicke.

Es ist eine absolute Fehlannahme, dass es hilft, sich über einen Link aus einem Verteiler auszutragen – jedenfalls, wenn es sich nicht um eine normale Newsletter-Abbestellung, sondern um eine Phishing-Mail handelt. Da dies auf den ersten Blick oft nicht zu erkennen ist, solltest du hier sehr vorsichtig sein. Denn auch hier gilt: Der Klick auf einen Link signalisiert einem Absender, dass die E-Mail-Adresse aktiv ist.

Deshalb ist es ratsam, wie bei Irrtum 3 erklärt, der Tipp, sich möglichst eine Zweit-Adresse zuzulegen, um sicherer zu sein. Auch Spam-Filter können hilfreich sein.

Irrtum 5

Eine E-Mail kommt immer von dem Absender, der mir angezeigt wird.

So einfach ist es leider nicht. Absenderadressen können recht einfach gefälscht werden, was sich Hacker zunutze machen, um möglichst unauffällig in einem Postfach aufzutauchen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät zu einem Check des sogenannten E-Mail-Headers. Denn der Header, beziehungsweise Quelltext der E-Mail, kann im E-Mail-Programm angezeigt werden. In den mit Received From bezeichneten Zeilen kann ich als Nutzer den Weg der Mail verfolgen – also, wo sie herkommt und von wo aus sie bei mir gelandet ist. Hier findet sich der Versender, in der letzten Received From-Zeile.

Laut BSI ist aber auch dies nicht komplett sicher, denn Angreifer könnten teilweise auch die Received-Zeilen manipulieren. Deswegen gilt bei Zweifeln am Absender einer E-Mail eben einfach immer: Die E-Mail nicht öffnen, sondern ungelesen direkt löschen.

Hier findest du mehr Infos zu gefälschten Absendern

Irrtum 6

Als deutscher Nutzer von Gmail habe ich auch Datenschutz nach deutschem Recht.

Schön wäre es, aber nein. Insbesondere Google wird immer wieder kritisiert für den Umgang mit Datenschutz, was vor allem auch damit zutun hat, dass der Anbieter sich nicht an deutsche Regeln hält beziehungsweise seine Nutzerdaten in den USA speichert.

SWR-Wirtschaftsexperte Alexander Winkler erklärt: „E-Mails sind normalerweise nicht verschlüsselt, entsprechend haben im Rahmen der dortigen Rechtsprechung auch US-Behörden auf deutsche Gmail-Konten Zugriff. Und auch ansonsten lässt der Datenschutz zu wünschen übrig. Der Konzern wertet den Inhalt unserer Mails zwar seit einer Weile nicht mehr aus. Aber in Kombination mit unseren Suchanfragen, Standortdaten aus Google Maps, und den Informationen, mit wem wir wie oft schreiben, hat das der Konzern auch gar nicht nötig.“

Grundsätzlich gilt in Sachen Datenschutz einfach der Satz: „Wenn etwas nichts kostet, dann sind wir das Produkt, mit dem Geld verdient wird. In vielen Fällen sind das eben unsere Daten.“

Irrtum 7

Deutsche Freemail-Anbieter wie web.de oder GMX sind auch nicht besser als Gmail.

Unser SWR-Wirtschaftsexperte hält das für falsch. Ein bisschen besser seien die deutschen Anbieter schon. „Zum einen ist deren Geschäftsmodell nicht ausschließlich Werbung und der Aufbau umfangreicher Nutzerprofile, wie das bei Google der Fall ist. Die verdienen wohl eher an Premiumdiensten, die sie Nutzern verkaufen. Dann liegen die Mails auf Servern in Deutschland. Auch ein Pluspunkt. Was aber nicht bedeutet, dass deutsche Behörden für Ermittlungen nicht trotzdem drauf zugreifen können.“ Wem es wichtig ist, wirkliche Datensicherheit in seinem Mail-Postfach zu haben, der kommt nicht drum herum seine Mails selbst zu verschlüsseln. Aber das ist ziemlich kompliziert und nur etwas für echte Profis.

Alternativen wie Posteo.de oder Mailbox.org kosten Geld. Ab einem Euro im Monat geht das los. „Da bin ich in Sachen Datensicherheit tatsächlich auch besser aufgehoben“, sagt Alexander Winkler: „Solche Anbieter können auf Datensparsamkeit setzen, weil sie eben nicht auf Werbung angewiesen sind. Das heißt, sie verzichten schon, wenn ich mich anmelde, auf persönliche Daten wie Name oder Adresse. Das Postfach ist natürlich werbefrei. Mails und Nutzerdaten sind, soweit das möglich ist, standardmäßig verschlüsselt. Und sie liegen zudem auf deutschen Servern.“ Was wir also für einen E-Mail-Anbieter zahlen, das investieren wir tatsächlich in unsere Datensicherheit.