Verschlüsselung

E-Mail-Anbieter-Test: aikQ

17. Januar 2017
  • Verschlüsselung

© Rido - Fotolia.com

Vor gut zwei Jahren nahmen wir aikQ erstmals unter die Lupe: Mit einem Preismodell, das an mailbox.org erinnert, jedoch mit besseren Features ausgestattet, konnte der Sicherheitsanbieter ebenfalls bei uns punkten. Mittlerweile ist der einstige Berliner zum Briten geworden. Was sich noch geändert hat, zeigt unser Test:

aikQ: ein Angebot der DOTinbox LTD

Beim ersten Test stand 8bit als Mutter des Dienstes aikQ im Impressum. Mittlerweile hat sich dies geändert: Die britische DOTinbox LTD, über die man leider sehr wenig im Web findet, ist nun für den Service zuständig. Damit ist der Service zwar aus Deutschland ausgezogen, bleibt jedoch noch in der EU ansässig. Vorerst zumindest, denn mit dem endgültigen Austritt Englands aus der EU („Brexit“) ist bis März 2019 zu rechnen – wenn wir vom heutigen Stand ausgehen, der allgemein kommuniziert wird.

Einstiegshürden bei aikQ

© lightwavemedia – Fotolia.com

Möchten Sie aikQ für sich einrichten, führt kein Weg an dieser Registrierungssite vorbei. Weder werden hier unsere Aktivitäten verfolgt, noch möchte die Site irgendwelche Berechtigungen. Geschützt werden Ihre Daten durch eine gute Verschlüsselung (TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, 128-Bit-Schlüssel, TLS 1.2).

Wie schon mailbox.org erlaubt auch aikQ Testaccounts. Dafür registrieren wir uns erst mal sehr datensparsam: Wir entscheiden uns für unsere E-Mail-Adresse, haben dafür verschiedene Endungen zur Auswahl und können nun selbst entscheiden, ob wir unseren Klarnamen angeben möchten oder stattdessen pseudonymisieren. Da jedoch weder Namen noch Bestandsdaten gespeichert werden, ist Ihre Anmeldung ohnehin anonymisiert.

Sie benötigen letztlich also denselben Datenumfang wie bei mailbox.org: Ihre E-Mail-Adresse sowie ein hoffentlich gut ausgewähltes Passwort.

Passwortsicherheit: hat sich aikQ verbessert?

In unserem Ersttest von aikQ im Dezember 2014 war die Passwortprüfung noch katastrophal. Wir schrieben erschrocken: „Bisher kam aikQ Mail bei unserem Test sehr gut weg, jedoch scheitert auch dieser Service an einer Hürde: Die Passwortprüfung. Es existieren weder Vorgaben, die das Finden eines sicheren Passworts erleichtern, noch eine Sicherheitsampel, die vor unsicheren Passwörtern warnt. Sowohl „12345678“ als auch „Passwort“ oder „Passwort123“ gingen unkontrolliert als Passwörter durch – und erinnern wir uns zurück an die AGB: Wird Ihr Account kompromittiert, haften Sie.“

Nun sehen wir bereits, dass sich irgendwas getan haben muss: Neben der Passworteingabe stehen Smiley-Symbole, daneben die Worte „Kleinbuchstaben“, „Großbuchstaben“, „Zahlen“ und „Sonderzeichen“. Wir testen unsere üblichen Verdächtigen:

  • Bei „Passwort“ lächeln nur die Smileys neben „Kleinbuchstaben“ und „Großbuchstaben“, die nun in sicher wirkendem grün hervorgehoben sind. Die Smileys und die Schrift von „Zahlen“ und „Sonderzeichen“ bleiben neutral und schwarz. Unten zeigt ein gelber Balken, dass noch Luft nach oben bleibt. Schöne Neuerung: So wissen weniger versierte User, dass da in puncto Passwortsicherheit noch was geht.
  • Probieren wir die Zahlenfolgen „123456“, „12345678“ sowie „12345678!“. Bei der ersten Kombination sieht aikQ rot: Der Balken verkleinert sich und ändert seine Farbe auf alarmierendes Rot, während bei den Smileys nur der mit dem Wort „Zahlen“ grün lächelt. „12345678“ lässt zwar nur denselben Smiley grün lächeln, allerdings stellt sich die Sicherheitsampel von rot auf gelb. Trügerisch! Wir ahnen schon, was bei der Kombination mit Satzzeichen passiert: Die „Sonderzeichen“ werden grün, der gelbe Balken noch etwas länger.
  • Leider wird „P4sswort“ schon als sicher angezeigt: Nur „Sonderzeichen“ bleibt schwarz mit neutralem Smiley, die restlichen Bestandteile sowie der Sicherheitsbalken färben sich grün.
  • Dasselbe passiert bei „Mayerin83“ – auch diesmal Bestandteil unserer E-Mail-Adresse. Enttäuschend, dass bislang nur Yahoo aufgefallen ist, dass Bestandteile der E-Mail-Adresse kein sicheres Passwort bilden können. Wir hätten erwartet, dass das den Sicherheitsanbietern wie eben aikQ oder auch mailbox.org eher auffällt als dem datenhungrigen Yahoo.

Captcha schlecht lesbar

Ein Captcha soll Menschen von Robotern unterscheiden – allerdings ist der Sicherheitscode, wie es aikQ nennt, kaum lesbar. Mehrmals klicken wir in den Code hinein, um ihn neu zu generieren. Darunter sehen wir die AGB, die zuletzt im Januar 2011 erneuert sein sollen. Da sich der Anbieter hinter aikQ geändert hat, stimmt das streng genommen nicht – die AGB wurden diesbezüglich geändert.

Schön ist es allemal, dass die AGB durch ein aktives Ankreuzen der Checkbox bestätigt werden müssen. Als wir den abschließenden Button geklickt haben, kommt eine Fehlermeldung: Die rot markierten Felder sollen bitte ausgefüllt werden. Testweise ließen wir Mobilfunknummer und E-Mail-Adresse frei, die E-Mail-Adresse ist nun eines der roten Felder. Auch unser Passwort-Feld ist rot und kurz kommt Hoffnung in uns auf, dass das Passwort doch nicht durchkommt.

Falsch gehofft: Nachdem wir eine Fake-E-Mail-Adresse und das Passwort „Mayerin83“ eingegeben haben, ist die Registrierung erfolgreich. Immerhin: Das anonymisierte Anmelden funktioniert definitiv, wenngleich das mit einer eher schwachen Passwortprüfung einhergeht. Diese ist allerdings schon mal besser als noch vor zwei Jahren, als gar nicht geprüft wurde.

Einstiegshürden mit wenig Verbesserungsbedarf

Insgesamt macht aikQ eine gute Figur bei den Einstiegshürden, wenngleich die Registrierung doch anders ausfällt als angekündigt: Auf der Registrierungsseite konnten wir lesen, dass wir zur Nutzung des Testaccounts einfach auf „ohne Bestellung fortfahren“ klicken sollten. Dieser Text war jedoch nirgends zu lesen; lediglich der Button „Verbindlich registrieren“ steht zur Auswahl.

Zusammenfassung Einstiegshürden:

  • Einfachheit: ja, sehr einfach, 1 Punkt
  • Sicherheit/ Seitenverschlüsselung: gute Verschlüsselung, 1 Punkt
  • Passwortvergabe: lässt auch unsichere Passwörter durch, 0 Punkte
  • notwendiger Datenumfang: keine echten Daten notwendig, 1 Punkt
  • vorgekreuzte Checkboxen: nein, 1 Punkt

Damit erreicht das Angebot von aikQ bei den Einstiegshürden 4 von 5 Punkten.

Usability bei aikQ

© Tyler Olson – Fotolia.com

Nachdem wir uns erstmals angemeldet haben, möchte sich aikQ im Rahmen geführter Schritte einrichten lassen. Schritt eins ist, unsere bestehenden E-Mail-Accounts zu aikQ zu übertragen. Wir überspringen diesen Schritt. Nun können wir Aliase, also weiter E-Mail-Adressen, zum Account hinzufügen und eine Signatur erstellen, anschließend ist die Einrichtungstour zu Ende.

Übersichtlich sehen wir das Web-Interface: Alles, was für uns wichtig sein könnte, liegt auf dem Dashboard. Das können wir über die linke Navigation anpassen und Widgets hinzufügen oder entfernen. Darunter sind beispielsweise:

  • Aufgaben
  • E-Mail
  • News
  • Speicherplatz
  • Websuche

Wie schon vielfach erlebt, sendet uns auch aikQ eine E-Mail zur Begrüßung. Hier erfahren wir auch, dass wir einen Testaccount eröffnet haben. In 30 Tagen bekommen wir Bescheid, sodass wir uns für oder gegen aikQ entscheiden können. Mit support@aikQ.de ist eine Kontaktadresse für Fragen genannt, außerdem erfahren wir die eingeschränkten Leistungen des Test- gegenüber normalen Accounts.

Leistungen eines aikQ-Accounts

Was steckt drin im aikQ-Angebot? Es gibt drei Pakete: Den Test-Account, das Paket Q sowie das Paket Q(+). Das gängige Paket Q kostet einen Euro monatlich, also 12 €/Jahr. Das Paket Q(+) buchen Sie für zwei Euro monatlich, also 24 €/Jahr. Ihr Postfach ist dann 30 GB groß und Sie können bis zu 40 Aliase anlegen. Die folgenden Leistungen erklären, was in Ihrem Test-Zugang enthalten ist. In Klammern sehen Sie dahinter, was das Paket Q kann.

  • Speichervolumen: 500 MB (10 GB)
  • Versand & Empfang via SMTP bzw. POP3 oder IMAP möglich
  • E-Mail-Empfang von Mails mit max. 5 MB (50 MB)
  • Webdisc-Traffic bis zu 1 GB (10 GB)
  • E-Mail-Versand an bis zu drei Empfänger gleichzeitig (100 Empfänger gleichzeitig)
  • E-Mail-Versand im Abstand von 60 Sekunden möglich (alle 2 Sekunden kann eine neue E-Mail versendet werden)
  • ein weiteres Alias möglich (20 Aliase)
  • Credits zum SMS- und Fax-Versand erst ab Paket Q möglich
  • Spam- und Antivirenschutz
  • mobile Ansicht via aikq.de/m, außerdem Android-App
  • Toolbox für Mac & Windows (z. B. Festplattensync)
  • Anonymität beim Registrieren & Bezahlen
  • individuelle Filter- & Sortiermöglichkeiten
  • Aufgaben & Kalender

Theoretisch gehört zu den aikQ-Leistungen auch der Online-Support über die Hilfeseiten auf support.aikq.de. Peinlicherweise ist jedoch das Zertifikat für diese Site abgelaufen, sodass unser Browser vermeldet: „Diese Verbindung ist nicht sicher“. Und weiter: „support.aikq.de verwendet ein ungültiges Sicherheitszertifikat. Das Zertifikat ist am Donnerstag, 15. September 2016 01:59 abgelaufen. Die aktuelle Zeit ist Donnerstag, 12. Januar 2017 11:11.“

Unabhängig von diesem Zertifikate-Fauxpas kann auch die Featureliste von aikQ mit denen der Freemailer mithalten. Die Werbefreiheit ist mehr als angenehm, dafür lohnen sich 12 € pro Jahr. Diese können Sie übrigens auch anonym per Bitcoins oder Brief zahlen; die FAQ geben Auskunft. Wäre das Zertifikat nicht abgelaufen, könnte man den Support-Seiten weitere Details entnehmen.

Dass das Zertifikat bereits seit Mitte September nicht erneuert wurde, lässt vermuten, dass Teile des Service nicht aktuell gehalten werden. Das wird Punktabzüge bei der Verschlüsselung geben, denn bei mehr als drei Monaten kann man eigentlich nicht mehr von einem Fauxpas sprechen, sondern muss ganz klar das Wort „Fahrlässigkeit“ in den Mund nehmen. Hinzu kommt, dass User nicht alles bekommen, wofür sie bezahlen: Diese Hilfedatenbank wird ganz klar in den Leistungen kommuniziert. Auch hier wird die Punktvergabe also nach unten gehen.

aikQ kann nicht ganz so punkten

Ja, die Featureliste ist lang. Neben den gängigen Features, die so ein E-Mail-Account zu haben hat, sind auch Zusatzleistungen wie Kalender, Aufgaben, Onlinefestplatte, SMS- und Fax-Versand und so weiter inklusive. Aber nicht alle angekündigten Features sind nutzbar: Aufgrund eines veralteten Zertifikats ist mit modernen Browsern der Online-Support, also die Hilfeseiten, seit nunmehr über drei Monaten nicht erreichbar.

Im Übrigen stoppen genau seit diesem Zeitraum auch die News. Die letzte Neuigkeit berichtete von einem Brand im Service- und Support-Center, sodass es zu einem Anfragestau gekommen sei, der jedoch bis zum 16.09.2016 behoben werden sollte.

Das Handling stimmt hingegen voll und ganz: Vom Login über den Versand und Empfang von E-Mails bis hin zum Logout ist alles denkbar einfach und zügig erledigt.

Zusammenfassung Usability:

  • Preis-Leistungsverhältnis: kostenpflichtig (0 Punkte), Standardfunktionen vorhanden, aber nicht alle funktionieren (0 Punkte), Zusatzfunktionen vorhanden (1 Punkt) – also 1 Punkt
  • Werbeeinblendungen auf der Seite: gar keine, 3 Punkte
  • Anmeldung/ Login-Prozess: einfach, 2 Punkte
  • E-Mail-Versand & -Empfang: einfach, 2 Punkte
  • (Pflicht-)Newsletter: nein, 1 Punkt

Damit erreicht aikQ bei der Usability 9 von 11 Punkten.

Rechtstexte bei aikQ

© sepy – Fotolia.com

Beim letzten Test des E-Mail-Anbieters aikQ wurden wir bezüglich der Datenschutzvereinbarung nicht fündig und mussten uns auf Aussagen in den FAQ stützen. Vor unserem heutigen Test haben wir uns Seite für Seite sehr genau angeschaut und fanden im Impressum plötzlich zwei Absätze, die die Datenschutzerklärung darstellen. Gute Auffindbarkeit ist also leider nicht gegeben, diese Datenschutzerklärung ist richtig leicht zu übersehen.

Wir erfahren, dass die Website-Nutzung ohne personenbezogene Daten möglich ist. Werden doch persönliche Daten erhoben, „erfolgt dies, soweit möglich, stets auf freiwilliger Basis. Diese Daten werden ohne Ihre ausdrückliche Zustimmung nicht an Dritte weitergegeben“, erklärt sich der Anbieter.

Weiter erklärt die Datenschutzerklärung, dass ein „lückenloser Schutz der Daten vor dem Zugriff durch Dritte“ nicht möglich sei, sodass es in der Datenübertragung Sicherheitslücken geben könne. Eine normale Klausel, die viele Anbieter verwenden, um Haftungsrisiken auszuschließen. Aber auch, um User zu sensibilisieren, denn es kann nicht oft genug gesagt werden: 100-prozentige Sicherheit kann nicht existieren.

Außerdem erfahren wir noch vom Recht eines jeden Users, Auskunft über die über ihn gespeicherten Daten zu erhalten. Das ist einerseits zwar kurz und bündig, andererseits aber auch nicht so richtig aufschlussreich. In den FAQ erfahren wir unter der Frage, ob personenbezogene Daten sicher seien:

„Wir speichern nur Daten, die Sie uns überlassen. Ob es sich dabei um ihre richtigen Daten handelt, oder sie z.B. ein Pseudonym verwenden ist unerheblich – es interessiert uns nicht. Alle Daten, die Sie uns überlassen, geben Sie uns freiwillig. Trotzdem geben wir nichts weiter und halten alles, was Sie uns wissen lassen unter Verschluss. Auch technische Daten, wie Ihre IP-Adresse, Ihr Betriebssystem oder Ihr verwendeter Browser interessieren uns nicht und werden automatisch anonym übermittelt und sind so weder für uns, noch für jemand anderes nachvollziehbar. Lediglich Datum und Uhrzeit des Log-Ins werden betriebsbedingt gespeichert.“

AGB: nicht geändert. Oder doch?

Die Allgemeinen Geschäftsbedingungen sind übers Menü leicht auffindbar und wurden uns bereits im Rahmen der Registrierung gezeigt. Geändert hat sich seit dem 01.01.2011 angeblich nichts, jedoch muss mindestens der Service-Anbieter geändert worden sein: vom Berliner 8bit zum Briten DOTinbox LTD. Am Ende der AGB ist nach wie vor von einem Berliner Gerichtsstand die Rede.

Wir vergleichen die AGB mit unseren Erkenntnissen von vor zwei Jahren: Tatsächlich hat sich ausschließlich der Service-Anbieter geändert. Details zu den AGB entnehmen Sie also bitte dem Absatz „Datenschutz & AGB“ im ersten Testbericht.

Zusammenfassung Rechtstexte:

  • Auffindbarkeit: Datenschutzerklärung schlecht, AGB gut, 1 Punkt
  • Verständlichkeit – gut, 2 Punkte
  • Klarheit/ Eindeutigkeit: inhaltlich zwar klar & verständlich, jedoch gab es Änderungen in den AGB, die nicht mit einem geänderten Änderungsdatum versehen sind, deshalb 1 Punkt
  • Inhalt: alles bestens, keine Mängel, 3 Punkte

Damit erreicht der Anbieter 7 von 9 Punkten.

Sicherheit bei aikQ

© Mikko Lemola – Fotolia.com

Unsere Ausführungen im ersten Testbericht bezüglich der Verschlüsselung ist auch heute noch zutreffend – zumindest der erste Absatz unter „aikQ Mail verschlüsselt den Transport Ihrer Nachrichten“. Die Transportverschlüsselung, über die wir im zweiten Absatz berichtet hatten, ist stärker geworden (TLS1.2:ECDHE_RSA_AES_256_GCM_SHA384:256). Werbung konnten wir in keiner versendeten Test-E-Mail entdecken.

Sie können Ihre E-Mails auch digital signieren, um Ihre Identität zu beweisen. Dafür müssen Sie ein digitales Zertifikat erwerben und dies in Ihren Einstellungen hochladen.

Haben wir uns im Ersttest noch gefragt, wo die aikQ-Server stehen mögen, erfahren wir dies nun im Impressum: Als Serverstandort nutzt der Brite das Speedloc Datacenter in Görlitz.

Dass Anonymität gelebt wird, auch bei der Registrierung und der Bezahlung, ist ein guter Sicherheitsaspekt. So richtig begeistern können uns die Sicherheitsfeatures allerdings nicht: Weder 2-Faktor-Authentifizierung noch eine wirklich gute Passwortvergabe oder sonstige Features sind vorhanden. Lediglich die Logout-Zeit und Ihr Passwort können Sie in den Einstellungen ändern.

Zusammenfassung Sicherheit:

  • Seitenverschlüsselung (Login-Site & Mail-Interface): sicher verschlüsselt, allerdings mit nur teilweise korrekten Angaben dazu: die FAQ sprechen von 256-Bit-Verschlüsselung, unser Browser zeigt ein Domain-validiertes SSL-Zertifikat mit 128-Bit-Schlüssel auf. Der Support-Bereich ist durch ein seit über 3 Monaten abgelaufenes Zertifikat mit modernen Browsern gar nicht mehr erreichbar, deshalb 0 Punkte
  • E-Mail-Verschlüsselung: sicher verschlüsselt durch gute Parameter & PFS, 3 Punkte
  • sonstige Sicherheitsfeatures: nicht vorhanden, 0 Punkte
  • Serverstandorte: Görlitz, Deutschland, 3 Punkte
  • Serververschlüsselung: gut, 2 Punkte
  • Datenspeicherung auf Servern: kaum; lediglich freiwillige Angaben, die nicht der Wahrheit entsprechen müssen, 2 Punkte

Damit erreicht das Angebot bei der Sicherheit 10 von 14 Punkten.

aikQ: Fazit

Mit 37 Punkten hatte uns mailbox.org letzte Woche schon fast vom Hocker gehauen und ein bisschen haben wir gehofft, dass es nun zwischen den Sicherheitsanbietern zu einem spannenden Kopf-an-Kopf-Rennen käme. AikQ haut sich leider selbst ins Aus.

Die Einstiegshürden packt der Anbieter noch gut: Lediglich die Passwortsicherheit, die wir auch bei mailbox.org bemängeln mussten, stieß uns auf. Die Registrierung ist vollständig anonym möglich, ebenso die Bezahlung des kostenpflichtigen Service. Wer jedoch E-Mail-Bestandteile als Passwörter durchlässt, muss Punktabzug bekommen, und so schafft es aikQ auf 4 von 5 Sternen bei den Einstiegshürden.

Keine Werbung, kein Pflicht-Newsletter, einfache Anmeldung und Bedienung – damit punktet aikQ bei der Usability. Dass jedoch durch das Nicht-Erreichen des internetten Supportteils nicht alle angekündigten Funktionen gegeben sind, bringt Punktabzug: 9 von 11 Sternen für die Usability.

Die Auffindbarkeit der Rechtstexte ist zum Teil, nämlich bei den AGB, großartig. Die Datenschutzerklärung sucht man jedoch sehr lange. Eher zufällig fanden wir sie im Impressum unter dem Haftungsausschluss. Das gab Punktabzug in der Auffindbarkeit der Rechtstexte. Die Verständlichkeit und der Inhalt stimmen.

Allerdings mangelt es an Klarheit bzw. Eindeutigkeit, wenn in den AGB angegeben wird, sie wären zuletzt 2011 geändert worden, obwohl jüngst Änderungen stattgefunden haben müssen. Der neue Serviceanbieter steht immerhin als solcher in den AGB. Das mag kleinlich klingen, aber wenn es so beginnt, steigt die Unsicherheit bei der Frage, was womöglich noch angepasst wurde. Sicherheitshalber haben wir nachgelesen und konnten keine weiteren nicht-kommunizierten Änderungen finden.

Bei der Sicherheit gab es erneut Punktabzug. Zwar ist die Seitenverschlüsselung der Login-Site und des Interfaces gut, allerdings werden in den FAQ dazu andere Angaben gemacht als unser Browser in der Zertifikateansicht anzeigt. Auch müssen wir die nicht-erreichbaren Supportseiten aufgrund eines abgelaufenen Zertifikats mit Punktabzug abstrafen. E-Mails werden gut transportverschlüsselt; die Server stehen in Görlitz und es findet kaum eine Datenspeicherung auf den Servern statt. Allerdings mangelt es an sonstigen Sicherheitsfeatures.

Alles in allem schafft es aikQ auf 31 von 39 möglichen Punkten – das ist zwar keineswegs schlecht, allerdings eben doch weit entfernt von mailbox.org. Nächste Woche schauen wir, ob eclipso mit aikQ oder gar mailbox.org konkurrieren kann.



0 Kommentar(e)

Schreibe einen Kommentar