Freemail

E-Mail-Anbieter-Test: eclipso

25. Januar 2017
  • Freemail

© Rido - Fotolia.com

eclipso möchte die Gratwanderung bestehen und schafft ein Freemail-Angebot, das sich Datenschutz auf die Fahnen schreibt. Ob das bei einem werbefinanzierten Angebot funktionieren kann? Bei unserem ersten Test vor zwei Jahren fielen uns sichere Verschlüsselung, jedoch mit veralteten Hashalgorithmen, deutsche Serverstandorte, aber eben auch Werbung auf. Wir sind gespannt, was sich getan hat!

eclipso mit geändertem Anbieter

Wie schon aikQ hat sich auch bei eclipso etwas bezüglich des Anbieters getan, jedoch nicht so weitschweifend wie bei aikQ: Ende 2014 war eclipso ein Angebot des Unternehmens webconcept+. Dieses Unternehmen ist in der Zwischenzeit aus dem Impressum verschwunden, jedoch ist der Inhaber Claus-Peter Beringer ebenfalls Inhaber von webconcept+. In den AGB wird webconcept+ hier und da auch noch genannt.

Einstiegshürden bei eclipso

© lightwavemedia – Fotolia.com

eclipso möchte zunächst, dass Sie sich auf dieser Site registrieren. Gleich zu Beginn wird sichtbar, dass eclipso mehr wissen möchte als unsere letzten beiden Testkandidaten. Zudem zeigt die Adressleiste des Browsers, dass die Registrierung nicht ganz so anonym abläuft:

Die Site enthält Inhalte, die uns tracken möchten. Wir entdecken einen Werbebanner am Ende der Site und glauben, den trackenden Übeltäter bereits ausgemacht zu haben. Wir aktivieren entsprechenden Schutz – und die Werbung verschwindet.

Ansonsten ist die Registrierungssite stimmig: Es sind keine besonderen Berechtigungen vonnöten. Auch die Verschlüsselung ist gut (TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, 128-Bit-Schlüssel, TLS 1.2). Haben Sie die Aktivitätenverfolgung deaktiviert, können Sie Ihre Daten eingeben, ohne ein schlechtes Gefühl haben zu müssen.

Datenumfang beim Registrieren

eclipso möchte mehr wissen als unsere letzten beiden Testkandidaten – aus dem Ersttest wissen wir noch, dass eclipso auf Klarnamen bestanden hat. Da auf der Registrierungssite auf die AGB und Datenschutzerklärung verlinkt wird, können wir dies zügig prüfen. Beim Querlesen findet sich nichts derart; wir lesen noch mal sehr gründlich, wenn wir uns den AGB später widmen. Folgende Informationen möchte eclipso haben:

  • Anrede (also Geschlecht)
  • Vor- und Nachname
  • Straße, Hausnr.
  • PLZ, Ort
  • Land
  • Secret Key – entspricht einem Zweitpasswort, welches Sie zur Passwortwiederherstellung nutzen können, wenn Sie keine alternative E-Mail-Adresse angeben möchten
  • Passwort

Web.de wollte zusätzlich noch das Geburtsdatum wissen, ansonsten entspricht dieser Datenumfang dem des Freemail-Anbieters. Dass das besser geht, wissen wir spätestens seit den mailbox.org- und aikQ-Tests.

Passwortsicherheit: was hat sich bei eclipso getan?

„Unterirdisch“ – dieses Wort haben wir 2014 verwendet, um die Passwortsicherheit bei eclipso zu beschreiben. Wir werden darauf hingewiesen, dass ein „sicheres Passwort […] aus mindestens 10 Zeichen, Groß- und Kleinbuchstaben bestehen, Zahlen von 0 – 9 und Sonderzeichen wie z.B. #, * oder ? enthalten sollte“. Wie immer probieren wir:

  • Bei „Passwort“ schrillen die Alarmglocken: „sehr schwach“ zeigt die in rot gefärbte, alarmierende Sicherheitsschranke an.
  • Glücklicherweise zeigen sich „123456“, „12345678“ sowie „12345678!“ ebenfalls als „sehr schwach“ – ein warnendes Rot taucht auch hier auf.
  • Schön: mit „P4sswort“ gewinnen wir auch keinen Blumentopf – die Sicherheitsampel bleibt erbarmungslos rot.
  • Wir machen fast einen Freudenhüpfer, als „Mayerin83“ die Passwortprüfung auch nicht beeindrucken kann: die Ampel bleibt rot, kein Durchkommen! Wunderbar, denn bislang war Yahoos Passwortprüfung die einzige, die etwas gegen Bestandteile der E-Mail-Adresse hat. Sogar aikQ und mailbox.org ließen dieses Passwort als vordersten Teil unserer Test-E-Mail-Adresse durchgehen!

Von der „unterirdischen“ Passwortprüfung von vor 2 Jahren ist nichts mehr über – wir sind begeistert und überlegen uns nun ein wirklich sicheres Passwort, welches die Ampel auf grün springen lässt.

Secret Key zum Generieren neuer Passwörter

Diese Passwortprüfung wäre ja so schön, wenn … ja, wenn da nicht der Secret Key wäre. Was eigentlich als Sicherheitstool gedacht ist, erweist sich als nicht sonderlich clever. Der Secret Key wird wie folgt beschrieben: „Als Secret Key können Sie einen speziellen Begriff, ein geheimes Wort oder eine spezielle Buchstaben-/Zahlenkombination angeben. Sollten Sie Ihr Passwort einmal vergessen haben und z. B. Ihre hinterlegte, alternative E-Mailadresse nicht mehr gültig sein oder keine Handy-Nr. In Ihrem Account hinterlegt haben, können Sie den Secret Key nutzen um ein neues Passwort anzufordern. Ihr persönlicher Sekret Key muss eine Mindestlänge von drei Zeichen haben.“

Heißt: da überlegen Sie ewig, um ein wirklich sicheres Passwort zu finden – wie es der Service erfreulicher Weise vorschreibt. Und dann können Sie mit einem „Geheimschlüssel“, der mindestens gigantische drei Zeichen lang sein soll, diesen tollen Passwortschutz aushebeln. Mit „123“ beispielsweise können Eindringlinge extrem einfach Ihr Passwort ändern. Ein mehr als fragwürdiger Schutz!

Es tauchen Schwierigkeiten auf

Wir registrieren positiv, dass den AGB und der Datenschutzerklärung aktiv zugestimmt werden muss. Als wir allerdings auf „Jetzt E-Mailkonto anlegen“ gehen möchten, werden wir darauf hingewiesen, dass PLZ und Ort nicht zusammenstimmen. Wir prüfen, wissen allerdings, dass das die korrekte PLZ des Ortes ist. Als wir zur schnellen Lösung des Problems eine andere passende PLZ-Ort-Kombination angeben, gelingt die Registrierung.

Nun sollte man sich 48 Stunden nach der Registrierung auch einloggen, da der Account andernfalls wieder gelöscht wird. Aus Sicherheitsgründen ist das durchaus sinnvoll.

Zusammenfassung Einstiegshürden:

  • Einfachheit: einfach wirkend, allerdings kann es Probleme mit PLZ-Orts-Kombinationen geben, auch wenn sie derart tatsächlich existieren. Auch das Durchblicken der mit vielen Eingabefeldern gespickten Registrierungssite gelingt nicht sofort und einfach, 0 Punkte
  • Sicherheit/ Seitenverschlüsselung: zwar gute Verschlüsselung, jedoch kann Aktivitätentracking durch Werbeanzeigen stattfinden; nicht jede Website nimmt die Bitte, das Tracken zu unterlassen, an, deshalb 0 Punkte
  • Passwortvergabe: für das tatsächliche Passwort: grandios! Da jedoch durch den Secret Key, der nur 3 Zeichen haben muss und damit auch mit „123“ funktioniert, ein neues Passwort angefordert wird, können Eindringlinge die Passworthürde sehr leicht durchbrechen, deshalb 0 Punkte
  • notwendiger Datenumfang: verhältnismäßig umfangreich, 0 Punkte
  • vorgekreuzte Checkboxen: nein, 1 Punkt

Damit erreicht das Angebot von eclipso bei den Einstiegshürden 1 von 5 Punkten.

Usability bei eclipso

© Tyler Olson – Fotolia.com

Nach der Registrierung eröffnet sich uns ein übersichtliches Dashboard. Eine Tour durch das Backend wird uns nicht angeboten. Wir entdecken jedoch eine Begrüßungsmail in unserem Posteingang:

Nachdem wir darin willkommen geheißen wurden, wird das Importieren von Kontakten und E-Mails angeregt; außerdem finden wir Hinweise, wie wir unser E-Mail-Programm oder unser Smartphone mit POP3 einrichten können. Zuletzt wird uns die Hilfedatenbank vorgestellt und wir erfahren, dass Neuerungen sowie Ankündigungen für Wartungsarbeiten übers Blog laufen.

Rechts blinkt uns derweil Werbung zu, während über dem Posteingang unauffälligere Werbung eingesetzt wird. Als störend empfinden wir den rechten Banner, jedoch ist so ein ungewollter Klick auf die unauffälligere Werbung oben wahrscheinlicher. Haben wir keine E-Mail ausgewählt, wird auch dieser Platz für Werbebotschaften genutzt. Somit haben wir nun, wo wir keine Mail ausgewählt haben, mehr Werbung als E-Mail-Postfach im Blick.

Umfangreiche Einstellungen bei eclipso

Dass die Einstellungen in der linken Navigation alphabetisch und nicht logisch sortiert sind, verwirrt. Wir hatten zunächst „allgemeine Einstellungen“ erwartet, beginnen jedoch mit dem Abwesenheitsagenten, bevor Account-Upgrade und Alias-Adressen noch vor den allgemeinen Einstellungen kommen.

Darin entdecken wir den Menüpunkt „Verschlüsseln“ und danach eine Checkbox mit „standardmäßig aktivieren“. Wir bestätigen mit „OK“ und sind nun gespannt auf den Versand unserer Test-E-Mails. Wie zu erwarten, wäre das nun zu einfach gewesen. Als wir unsere erste Test-E-Mail versenden möchten, erklärt uns ein Popup:

„Sie möchten diese Nachricht verschlüsselt versenden, Ihr Schlüsselbund enthält aber nicht die nötigen öffentlichen Zertifikate eines oder mehrerer E-Mail-Empfänger. Bitte fügen Sie die öffentlichen Zertifikate folgender Empfänger Ihrem Schlüsselbund hinzu und versuchen Sie es erneut: <Empfänger-E-Mail-Adresse>“

Man versetze sich nun in die Lage eines Verschlüsselungslaien: Mehr als Fragezeichen auf der Stirn des Lesenden wird dieser Text nicht auslösen. Klickt man „OK“, passiert gar nichts. Der nicht versierte User wird also keinesfalls an die Hand genommen. Er wird jedoch die Checkbox vor dem Wort „verschlüsseln“ sehen, die hinter dem Empfänger steht, und dieses Feld deaktivieren, um die E-Mail doch endlich zu versenden.

Immerhin wird die E-Mail transportverschlüsselt (TLS1.2:ECDHE_RSA_AES_256_GCM_SHA384:256). Der Satz „Ihre E-Mail-Postfächer zentral an einem Ort. Jetzt wechseln und alte E-Mail-Adresse mitnehmen! https://www.eclipso.de.“ wirbt am Ende der Test-E-Mails in eigener Sache.

Leistungen eines eclipso-Accounts

eclipso offeriert drei verschiedene Pakete: das kostenfreie eclipso FreeMail, eclipso Connect mit 12-monatiger Mindestlaufzeit, welches 12 € jährlich kostet, sowie eclipso Premium, das für eine 6-monatige Laufzeit mit 29,95 € zu Buche schlägt. Für die konkreten Leistungen und Preise der Pakete schauen Sie bitte auf die Tarifseite des Anbieters.

Wir vergleichen diese Tarifseite, die sehr eingeschränkte Funktionen im Freemail-Tarif zeigt, mit der, die wir eingeloggt in unseren Einstellungen unter „Account-Upgrade“ finden. Hier gehen die Angaben leider auseinander. So finden wir u. a. folgende Unstimmigkeit:

Laut Tarifsite ist S/MIME genauso unmöglich wie das Verschlüsseln per System- und eigenem Zertifikat. Die Upgrade-Tarifsite im Backend besagt, dass S/MIME natürlich möglich sei und dass es genauso möglich wäre, Zertifikate hochzuladen – um somit mit eigenem Zertifikat zu verschlüsseln.

Dass weder IMAP noch automatische E-Mail-Weiterleitungen mit dem FreeMail-Account möglich sind, zeigt die eingeschränkten Funktionalitäten. Man bekommt also Werbung vorgesetzt, woraus folgend die Seitensicherheit leidet (dazu mehr unter „Sicherheit“). Dann bekommen User zwar Zusatzfunktionen wie SMS- und Faxversand oder auch Fotoalben, Bildbetrachter und Cloudspeicher. Aber an Grundlegendem mangelt es dann wieder. Mit 20 MB Anhang-Größe bewegen wir uns wieder auf dem Niveau von Web.de.

Werbung ausblenden verboten

Zum Testen der jeweiligen Angebote verwenden wir bewusst verschiedene Browser: Chrome, Firefox und Opera (mit aktiviertem VPN & Werbeblocker; die anderen beiden ohne gesonderte Einstellungen). Denn die Browser zeigen Sicherheitsmerkmale verschieden an und zeigen auch in den Quelltexten Interessantes auf.

Als wir uns mit Opera einloggen – wie erwähnt: VPN und Werbeblocker sind aktiviert – erscheint ein Popup: „Bitte deaktiveren Sie Ihren Werberblocker!“ steht dort in vier verschiedenen Sprachen. Wir können schnöde auf „OK“ gehen oder aber unseren Account upgraden – für nur 12 € jährlich. Wir entscheiden uns für das „OK“ und nichts passiert. Unsere Verbindung zur Site ist laut Opera sicher.

Nach wie vor schützt uns das domainvalidierte SSL-Zertifikat. Zumindest fast: Wir entdecken SHA1 als Fingerabdruckalgorithmus. Warum dies nicht in Ihrem Sinne sein kann, lesen Sie bitte hier nach. Wir tummeln uns noch etwas in den unterschiedlichen Browsern. Immer mal wieder entdecken wir, dass unsere Aktivitäten getrackt werden und dass es gemischte Inhalte gibt:

Teile der Website werden nicht richtig verschlüsselt. Dies hängt häufig mit Werbebannern zusammen, die unverschlüsselt ausgegeben werden. Moderne Browser warnen vor solchen gemischten Inhalten. Weitere Informationen zum Thema entnehmen Sie bitte den Beiträgen der Serie „Browser-Sicherheit“, deren Ergebnisse wir in diesem Beitrag zusammengefasst haben.

Usability darf bei eclipso besser werden

Selten haben wir beim Testen so häufig das fragende Geräusch „Häää?“ vernommen wie heute. Wie kann es sein, dass hervorragende Features wie großzügiger Speicher (Startvolumen 5 GB für E-Mails + 5 GB für Fotos & Dateien; kostenfreie Erhöhung alle 180 Tage möglich) oder Free-SMS inklusive sind, Einfachheiten wie Weiterleitungen oder IMAP erst eingekauft werden müssen? Vor allem, wenn sich das Angebot über Werbung finanziert – eclipso Sync und Spam Protect Plus sind erst für wirklich teure 29,95 € pro Halbjahr inklusive.

Die Weboberfläche lässt sich hier und da anpassen. Mit intuitivem Handling hat das Backend aber insgesamt wenig gemein. Anstelle logischer Sortierungen erleben wir alphabetische Sortierungen – was nicht weiter stören würde, würde man sämtliche Begrifflichkeiten des Anbieters kennen. Beispiel gefällig?

Der Menüpunkt „Twitter“ ist nicht nur nichtssagend, sondern auch noch sicherheitsbedenklich. Sie können nämlich Ihren Twitter-Account verknüpfen, um eclipso zu erlauben, Tweets aus Ihrer Timeline zu lesen, neuen Leuten zu folgen, Ihr Profil zu aktualisieren und Tweets für Sie veröffentlichen. Behalten wir den weniger versierten User im Kopf, ist das eine ungünstige Konstellation.

Dass die Tarifangaben auf verschiedenen Seiten auseinandergehen, geht gar nicht! Auch dass der einzige Ausgang aus Werbebelästigung und Pflichtnewsletter das Account-Upgrade ist, geht in unseren Augen nicht: wenn man schon kostenfrei anbietet, dann darf das bitte vollumfänglich funktionieren. Es nervt beim Arbeiten im Account, hier und da immer wieder zum Upgrade aufgefordert zu werden. Unsere Tester sind sich einig: dann lieber 12 € jährlich zahlen, diese Unstimmigkeiten von vornherein weglassen und gut ist.

Zusammenfassung Usability:

  • Preis-Leistungsverhältnis: kostenfrei (FreeMail) (1 Punkt), Standardfunktionen nicht vollumfänglich vorhanden (0 Punkte), Zusatzfunktionen vorhanden (1 Punkt) – also 2 Punkte
  • Werbeeinblendungen auf der Seite: recht üppig, zuweilen mehr Werbung als Postfach auf dem Monitor, 1 Punkt
  • Anmeldung/ Login-Prozess: einfach, 2 Punkte
  • E-Mail-Versand & -Empfang: grundsätzlich einfach, zuweilen jedoch verwirrend für weniger versierte User (E-Mail-Verschlüsselung), 1 Punkt
  • (Pflicht-)Newsletter: ja, 0 Punkte

Damit erreicht eclipso bei der Usability 6 von 11 Punkten.

Rechtstexte von eclipso

© sepy – Fotolia.com

Die Nutzungs- bzw. Allgemeinen Geschäftsbedingungen wurden zuletzt am 01.10.2015 geändert, nach unserem Test aus 2014. Auf der unsicher verschlüsselten Site, die wieder unverschlüsselte Inhalte zeigt und damit nicht als sicher gelten kann, müssen Sie glücklicherweise keine Eingaben tätigen.

Änderungen der AGB, des Angebots oder der Funktionalitäten werden ohne Ankündigungsfrist durchgeführt. Möchten Sie den Änderungen widersprechen, müssen Sie dies rechtzeitig sehen, denn Sie haben nach der Änderung lediglich 4 Wochen Zeit zum Widerspruch. Bei Widerspruch kann eclipso den Vertrag kündigen.

In Punkt 2.3 erklärt eclipso, dass Sie durch Ihre Registrierung „dem Erhalt von Werbung mittels Banneranzeigen im Kundenmenü, E-Mail und ggf. Kurznachrichten (SMS) sowie Newslettern (ebenfalls via E-Mail) uneingeschränkt“ zustimmen. Sie können Premiumpakete kaufen, um Werbeanzeigen sowie Werbeerhalt abzubestellen.

Es folgen übliche Paragrafen: Sie dürfen keine falschen/ täuschenden Angaben zum Durchführen krimineller Aktivitäten machen. Überhaupt sollten Sie illegalen Aktivitäten nicht auf eclipso nachgehen; die AGB verbieten dies.

Offenbar sind auch die Zusatzfeatures werbefinanziert: Unter 3.9.1. erklärt ecplipso zu den SMS, dass Nutzer „ausdrücklich die eingeblendete Werbung, sowie die eventuell automatische Weiterleitung auf die Internetseite des aktuellen Werbepartners“ akzeptieren müssen.

Gut finden wir, dass kostenpflichtige Accounts nach einem Jahr nicht automatisch um ein weiteres Jahr verlängert werden, sondern dass sich User aktiv erneut für ein Abonnement entscheiden müssen. Das verhindert unnütze Geldausgaben und dieses Vorgehen ist das positive Gegenteil einer Abo-Falle.

Umgang mit Daten bei eclipso

Unter 4.2 erfahren wir, dass sich eclipso das Recht vorbehält, „rechtswidrige, diskriminierende, sexistische, moralisch verwerfliche oder sonst bedenkliche Inhalte zu löschen, oder deren Weiterverbreitung zu verhindern, wenn diese bekannt werden. eclipso ist gesetzlich dazu verpflichtet, auf gerichtliche oder behördliche Anordnung Daten des Nutzers an die Strafverfolgungsbehörden weiter zu geben“.

Der Verpflichtung, auf Anordnung Daten weiterzugeben, entgegnet mailbox.org begeisternd: ohne Daten keine Herausgabe. Dass Inhalte durch eclipso gelöscht werden können oder deren Weiterverbreitung verhindert werden kann, zeigt, dass der Anbieter Einsicht in die Daten haben könnte.

Unter 4.8.1 wird das sogenannte eclipso PIN Nutzerprofil geregelt, das wir bislang noch nicht erwähnt hatten. Diese PIN ist eine weitere Account-Zusatzleistung, die die Teilnahme an der eclipso Community gestattet. Sie können einen Nicknamen angeben oder aber Ihren Klarnamen dafür nutzen. Möchten Sie Ihren Klarnamen freiwillig verwenden, sichern Sie zu, „dass der angegebene Name keine Rechte Dritter verletzt, kein Fake-Name ist oder ein Name verwendet wird, der nicht dem des Nutzers entspricht“. Tragen Sie nun zufällig denselben Namen wie eine berühmte Persönlichkeit, haben Sie also möglicherweise Pech und können Ihren Klarnamen, wenn dieser die Rechte Dritter verletzt, nicht verwenden.

In Punkt 5.5 widmet sich eclipso noch mal geistigen Eigentumsrechten. Hier wird es im Zusammenhang mit der eben erwähnten Community spannend: „eclipso sichert zu, Content und/oder Daten des Nutzers nur dann für Werbezwecke oder weitere Veröffentlichungen auf eclipso zu verwenden, wenn diese öffentlich zugängig vom Nutzer selbst zur Verfügung gestellt wurden (z.B. beim öffentlich zugängigen eclipso PIN-Profil des Nutzers).“ Passen Sie also auf, was Sie öffentlich anzeigen lassen – womöglich sind Ihre Angaben schon bald Aufhänger der nächsten Marketingkampagne!

Datensicherung unterliegt der Nutzer-Verantwortung

Wie so oft, ist es in Ihre alleinige Verantwortung gelegt worden, auf Ihr Passwort zu achten. Dasselbe gilt für regelmäßige Datenbackups.

Punkt 7.1 lässt uns staunen: Möchten Sie Ihren kostenpflichtigen Account ordentlich kündigen, gibt es Rückerstattungen nur dann, wenn Ihr Guthaben 10 € übersteigt und ausschließlich durch Einzahlungen entstanden ist. Es fällt eine Bearbeitungsgebühr von sagenhaften 7,50 € an – das erscheint uns sehr hoch! Angenommen, Sie verfügen noch über ein Restguthaben von 10,50 €. So würden doch nur Menschen, die mit Sätzen wie „Da geht’s mir ums Prinzip!“ um sich werfen, das Guthaben von nunmehr 3,00 € anfordern, oder? Diese Gebühr empfinden wir als überzogen.

Jetzt entdecken wir den Hinweis auf Klarnamenpflicht bei der Registrierung: In 7.2 steht geschrieben, dass eine außerordentliche Kündigung dann denkbar ist, „wenn der Kunde bei der Anmeldung falsche Angaben gemacht hat“. Spulen wir zurück zur Registrierung: es war uns nicht möglich, PLZ und Ort der Wahrheit entsprechend anzugeben, da die Eingabe nicht angenommen wurde. Ein klarer Verstoß also gegen diesen Passus.

Nutzen Sie Ihren Account 365 Tage nicht, wird Ihr Account gesperrt. Nach maximal 550 Tagen nach dem letzten Login wird Ihr Account aufgelöst und Ihre Daten werden gelöscht. Möchte der Nutzer selbst kündigen, gelingt dies über die Accounteinstellungen. Dann werden sämtliche Daten „beim Beenden der Mitgliedschaft unwiderruflich und unwiderbringbar gelöscht“.

Datenschutz in den AGB

Unter Punkt 8 wird der Datenschutz innerhalb der AGB geregelt. 8.1 erklärt, dass „die gesetzlichen Bestimmungen […] zudem durch das Gesetz bzw. die Richtline zur sog. „Vorratsdatenspeicherung“ geregelt“ werden. Die Vorratsdatenspeicherung wird in den Datenschutzrichtlinien nicht einmal erwähnt.

Weiter ist eclipso „berechtigt, die personenbezogenen Daten des Kunden im Rahmen ihrer Werbeverträge mit den Sponsoren zu verarbeiten und zur Kategorisierung einzelner Zielgruppen zu nutzen, wobei keine Weitergabe der Daten an Dritte erfolgt“.

In der nun folgenden Widerrufsbelehrung steht webconcept+ als Ansprechpartner. Die Widerrufsbelehrung entspricht den gesetzlichen Vorgaben; ein angehängtes Formular macht den Widerruf schön einfach. Auch die Schlussbestimmungen entsprechen dem Standard.

Datenschutzerklärung von eclipso

Leider enthält die Datenschutzerklärung, die ebenfalls leicht auffindbar ist, kein Änderungsdatum. Wir erfahren, dass einige vom Browser übermittelten Daten (Browsertyp & -version, OS, Referrer-URL, IP-Adresse & Uhrzeit der Serveranfrage) keinen Personen zuordenbar sind und keinerlei Zusammenführung mit Daten aus anderen Quellen stattfindet. „…, die Daten werden zudem in unbestimmten Zeiträumen, nach einer statistischen Auswertung gelöscht“.

Wie üblich werden Cookies einschließlich häufig verwendeter Session-Cookies erklärt. Möchten Sie nicht, dass eclipsos Werbepartner Cookies auf Ihrem Rechner ablegen, können Sie die Cookie-Annahme in den Browsereinstellungen deaktivieren.

Eclipso drückt sich klar und eindeutig aus: „Eine Trennung von kostenlosem Angebot und dem Verzicht auf Newsletter ist nicht möglich. Sofern Sie keine Newsletter erhalten möchten, bitten wir von einer Registrierung auf unseren Internetseiten abzusehen oder das entsprechende Werbe- und Newsletterfreie Premium-Paket zu buchen.“ Zahlen oder komplett verzichten – Sie haben die Wahl!

Zur Nutzung oder Weitergabe Ihrer persönlichen Daten schreibt der Anbieter: „Ihre personenbezogenen Daten werden an Dritte nur weitergegeben oder sonst übermittelt, wenn dies zum Zwecke der Vertragsabwicklung – insbesondere Weitergabe von Bestelldaten an Lieferanten, Banken, Abrechnungsfirmen – erforderlich ist, dies zu Abrechnungszwecken erforderlich ist oder Sie zuvor eingewilligt haben. Sie haben das Recht, eine erteilte Einwilligung mit Wirkung für die Zukunft jederzeit zu widerrufen.“

Bank- bzw. Zahlungsdaten geben Sie bei eclipso nirgends ein, weshalb auch keine Verbindung von Zahlungs- zu Nutzerdaten entstehen kann. Je nach von Ihnen bevorzugter Zahlungsmethode werden Sie zum Dienst geleitet, tätigen dann Ihre Zahlung und werden danach wieder auf eclipso geleitet.

Datenlöschung bei eclipso

Möchten Sie die Löschung Ihrer persönlichen Daten veranlassen, so können Sie „Ihre Einwilligung zur Speicherung widerrufen, wenn ihre Kenntnis zur Erfüllung des mit der Speicherung verfolgten Zwecks nicht mehr erforderlich ist oder wenn ihre Speicherung aus sonstigen gesetzlichen Gründen unzulässig ist“.

Nun gibt eclipso einen wertvollen Hinweis zur Sicherheit: „Bei der Kommunikation per E Mail kann die vollständige Datensicherheit von uns nicht gewährleistet werden, so dass wir Ihnen bei vertraulichen Informationen den Postweg empfehlen.“ Es ist mutig, zuzugeben, dass der Postversand sicherer ist als der E-Mail-Versand über eclipso. Die Ehrlichkeit diesbezüglich halten wir jedoch für nötig und kundenfreundlich.

Möchten Sie vom Auskunftsrecht Gebrauch machen, können Sie Informationen zu Herkunft sowie Zweck der über Sie gespeicherten Daten einholen. Die Datenschutzerklärung verweist dafür auf diese Site, auf der Sie auch persönliche Daten eingeben müssen. Blöderweise ist diese Site durch Mixed Content, also wieder gemischte Inhalte, nicht vollständig sicher. Vielleicht sollten Sie lieber per Post anfragen …

Auf dieser Kontaktsite jedenfalls begegnet uns der Secret Key wieder – Sie wissen schon: das Passwort fürs Passwort, sozusagen. Unsere alles andere als sicheren drei Zahlen (123) genügen, um unser wirklich sicheres Passwort zurückzusetzen – und damit jeden in unseren Account zu lassen, der sich dafür interessiert.

Es wird noch auf den Analysedienst Piwik hingewiesen, weiter folgen die üblichen standardisierten Hinweise zu den Social Media-Plugins.

Zusammenfassung Rechtstexte:

  • Auffindbarkeit: gut, 2 Punkte
  • Verständlichkeit: gut, 2 Punkte
  • Klarheit/ Eindeutigkeit: größtenteils klar & verständlich, zuweilen werden Fragen aufgeworfen (z. B. zu der Tatsache, dass eclipso andeutet, E-Mails zu analysieren), 1 Punkt
  • Inhalt: kleinere Mängel in den AGB, Datenschutzerklärung völlig in Ordnung, 2 Punkte

Damit erreicht der Anbieter 7 von 9 Punkten.

Sicherheit bei eclipso

© Mikko Lemola – Fotolia.com

Eclipso hat seine Sicherheits-Site zum Herzeigen der hauseigenen Features aufbereitet. Leider ist dem, was wir dort lesen, nur bedingt zuzustimmen: Ja, eclipso bemüht sich sicherlich, die Privatsphäre zu schützen. Allerdings versucht der Service auch, Einnahmen zu generieren. Wie eingangs erwähnt, ist dieser sichere + kommerzielle Ansatz eine Gratwanderung.

Und auf dieser Wanderung sind wir vielfach auf Mixed Content-Sites gestoßen. Die Werbeanzeigen werden zu großen Teilen unverschlüsselt ausgeliefert, während eclipso selbst verschlüsselt – nicht umwerfend, aber doch gut (Domainvalidierung). Das Verwenden von TLS in der aktuellen Version 1.2, PFS gegen das nachträgliche Entschlüsseln und HSTS, um HTTPS-Zugriff festzulegen, sind extrem gute Tools. Sie nützen allerdings nur wenig, wenn nicht-verschlüsselte (HTTP-)Inhalte unter den verschlüsselten (HTTPS-)Inhalten gemixt werden.

eclipso lobt sich selbst

Auch lesen wir die folgende Passage ungern: „Kostenlos und hohe Sicherheitsstandards schließen sich nicht aus. eclipso bietet maximale E-Mail-Sicherheit auch bei unseren kostenlose E-Mail-Angeboten.“ Das entspricht nicht der vollen Wahrheit:

Im kostenfreien Mailangebot können Sie laut Tarifbeschreibung kein eigenes Zertifikat hochladen und damit auch den E-Mail-Verkehr nicht vollends absichern. Eclipso selbst rät deshalb in den Datenschutzbedingungen zum Postversand bei sensiblen Inhalten.

Auch ist es kein „hoher Sicherheitsstandard“, wenn die Werbebanner unverschlüsselt und nicht gerade zaghaft im Backend eingesetzt werden. Ausschließlich auf Transportverschlüsselung zu setzen, kann E-Mail-Verkehr tatsächlich nicht vor Zugriffen Dritter schützen. Spätestens, wenn die E-Mails auf dem Server liegen, können Sie gelesen werden – und wie die AGB vermuten lassen, werden sie das auch von ecplipso selbst (oder können zumindest – so klar sind die Aussagen leider nicht).

Am Ende dieser Sicherheitssite lesen wir: „Als weiteres Feature können Nutzer E-Mail mittels S/Mime und eigenen SSL-Zertifikaten vor dem Zugriff Unbefugter verschlüsseln. Unser Server befinden sich ausschließlich in deutschen Rechenzentren“. Wieder nur die halbe Wahrheit, denn als User des FreeMail-Angebots können Sie Ihre eigenen Zertifikate eben nicht hochladen. Dass die Server ausschließlich hierzulande stehen, erfreut uns; eine konkrete Angabe über den oder die Orte würden uns aber noch mehr erfreuen.

Zusammenfassung Sicherheit:

  • Seitenverschlüsselung (Login-Site & Mail-Interface): theoretisch gute Verschlüsselungsparameter, allerdings Mixed Content mit unverschlüsselten (Werbe-)Inhalten. Deshalb kein Schutz gegeben, für den Versuch gibt es noch 1 Punkt.
  • E-Mail-Verschlüsselung: ausschließlich transportverschlüsselt, kein Zertifikate-Upload im Freemail-Tarif möglich, 1 Punkt
  • sonstige Sicherheitsfeatures: Secret Key soll Sicherheit erweitern, macht jedoch die großartige Passwortprüfung unnütz, 0 Punkte
  • Serverstandorte: Deutschland, 3 Punkte
  • Serververschlüsselung: gut (SHA256wirthRSA, HSTS, PFS, Passwörter als gesaltete Hashs gespeichert), 2 Punkte
  • Datenspeicherung auf Servern: zu viel, die Konkurrenz speichert deutlich weniger, 0 Punkte

Damit erreicht das eclipso-Angebot bei der Sicherheit 7 von 14 Punkten.

eclipso: Fazit

In unseren E-Mail-Tests spüren wir zwei Dinge: zum einen, wie sich die Angebote der Anbieter erweitern (oder eben nicht), zum anderen auch, wie sich die Technik seither verändert hatte. Beim Ersttest von vor zwei Jahren warnten wir beispielsweise bereits vor SHA-1, jedoch hatten die Browser noch keine Darstellung für schlechte Algorithmen. Auch waren die Browser noch weit davon entfernt, uns Aktivitätenverfolgung, Mixed Content und sonstige Sicherheits-beeinflussende Faktoren zu zeigen.

Genau das ist nun bei eclipso spürbar. Als Inhaber Claus-Peter Beringer beim Vortest auf unsere Kritiken antwortete, freuten wir uns darüber sehr – und tatsächlich: die damals erwähnten Mängel in der Passwortprüfung sind angegangen worden, wie seinerzeit versprochen. Auch wurden die AGB überarbeitet, um für mehr Klarheit zu sorgen – einige Kritikpunkte fanden wir auch diesmal. Um die Post- und Briefdienste haben wir uns beim aktuellen Test gar nicht gekümmert.

Und doch werden wir nicht so richtig grün mit dem Service. Die Eingabemaske beim Registrieren erschlägt uns, nachdem wir nun bereits zwei datensparsame Sicherheitsanbieter getestet haben. Sie ist vergleichbar mit denen anderer Freemail-Anbieter, die sich jedoch weniger mit Sicherheit rühmen.

Es darf auch nicht sein, dass die Seitenverschlüsselung davon abhängig ist, ob eine Website hinter einem Werbebanner drauf reagiert, uns bitte nicht zu tracken, oder nicht – das ist leider Website-abhängig, auch wenn Ihr Browser anordnet, dass Sie nicht verfolgt werden. Da hieraus Mixed Content entsteht, sind die Sites in ihrer Sicherheit nicht verlässlich.

Wäre es nicht so bitter, würden wir es als größten Witz überhaupt empfinden, was aus der Passwortprüfung geworden ist: die ist wirklich gut, in keinem anderen Anbietertest fanden wir eine solch starke Prüfung! Das wird jedoch durch den Secret Key komplett nichtig gemacht: nur 3 Stellen sind für diesen Key erforderlich; abc geht genauso durch wie 123. Menschen, die sich „123456“ als Passwort trauen würden, machen auch vor solchen Keys nicht Halt. Dieser Key kann zum Generieren eines neuen Passworts herhalten – und das öffnet Tür und Tor für Kriminelle. Die großartige Passwortprüfung ist völlig umsonst.

Auffindbarkeit und Verständlichkeit der Rechtstexte sind prima! Inhaltlich bzw. von ihrer Klarheit werfen jedoch insbesondere die AGB Fragen auf: wir lesen Vorratsdatenspeicherung (VDS) – jedoch nur in den AGB, in der Datenschutzerklärung kommt die VDS nicht mehr vor. Auch lesen wir, dass bestimmte Inhalte nicht gestattet sind und eclipso bei Bekanntwerden solcher Inhalte Maßnahmen ergreift. Das kann man als indirektes Eingeständnis dafür sehen, dass eclipso die Mails seiner User zumindest stichprobenartig liest. Wenn dem so ist, möchten wir das genau so in den Datenschutzvereinbarungen lesen. Ist dem nicht so, wäre eine andere, eindeutigere Formulierung sicher angebracht.

Die gut gemeinte Verschlüsselung ist weder im Website- noch im E-Mail-Bereich gut umgesetzt, denn immer wieder werden verschlüsselte mit unverschlüsselten (Werbe-)Inhalten gemixt. Die Aussagen auf der Sicherheitssite sind nur bedingt richtig, auch existieren widersprüchliche Aussagen auf der offiziellen Tarifseite und der in unseren Einstellungen.

Auf uns wirkt das Angebot, als wolle man mit dem Freemail-Tarif eben Kunden anziehen, die nicht bereit sind, für E-Mail-Accounts zu zahlen. Wir sind der Meinung, dass diese Zielgruppe natürlich völlig in Ordnung ist, dass dann aber nicht von Sicherheit gesprochen werden darf. Würde sich eclipso entweder als werbender Freemail-Anbieter oder als kostenpflichtiger Sicherheitsanbieter etablieren, wäre uns dies deutlich lieber, als dieser unausgereifte Versuch, bei beiden Zielgruppen anzukommen. Das ist, als wenn es Yahoo und mailbox.org unter einem Anbieter gäbe – irgendwie undenkbar. Wohl auch deshalb müssen wir die Umsetzung des Angebots von eclipso so stark kritisieren.

Tatsächlich hat noch schlechter bislang nur Yahoo mit 18 von 39 Punkten abgeschlossen. Mit 21 von 39 Punkten bleibt das Angebot von eclipso sogar noch hinter Web.de und GMX, die es immerhin auf 22 Punkte schafften. Bevor wir aber zu einem endgültigen Ranking kommen, testen wir kommende Woche noch Posteo als letzten Sicherheitsanbieter.



3 Kommentar(e)

Schreibe einen Kommentar

Auf dieses Thema gibt es 3 Reaktionen

  1. Claus-Peter Beringer | 26. Januar 2017

    Auch in diesem Jahr möchten wir es uns nicht nehmen lassen, den Test zu kommentieren und vor Allem, einige falsch dargestellte Punkte nicht unkommentiert stehen zu lassen.

    Nur ein kleiner Fauxpas zum Anfang: Sie verwenden das Logo unserer Schweizer Plattform (eclipso.ch), verweisen aber auf unser deutsches Angebot… (kann ja mal passieren).

    Wir finden wir es schade, das unterschiedliche Konzepte (kostenlos vs. kostenpflichtig) gegeneinander ausgespielt werden und damit versucht wird, dem geneigten Leser ein vergleichbares Bild zu vermitteln. Wie sich zeigt, schneiden kostenlose Angebote in Ihrem Test generell schlechter ab und das findet sich auch in Ihrer Bewertung wieder. Warum?

    In allen Berichten bezügl. Ihres Anbieter-Tests finden sich Angaben zu Speicherplatz, mobilen Apps usw., warum nicht im Test zu eclipso?

    Mit keinem Wort wird erwähnt, dass eclipso mit Abstand den meisten, kostenlosen Speicherplatz (Startvolumen 5 GB für E-Mails plus 5 GB für Fotos und Dateien) und nicht nur 5 GB – wie in Ihrem Test beiläufig erwähnt wird, für eclipso Drive, anbietet. Mit keinem Wort wird erwähnt, dass man als Kunde alle 180 Tage das Speichervolumen erneut um das Startvolumen upgraden kann – kostenlos! Unsere App für iOS und Android halten Sie ebenfalls nicht für erwähnenswert.

    Schon allein die Tatsache, dass zum Test, wie selbstverständlich ein Adblocker eingesetzt wurde, zeigt uns die Haltung und Einstellung des/der Tester/in bezügl. kostenlosen Angeboten. Warum wir den Einsatz von Adblockern nicht gutieren können, liegt in der Natur der Sache und sollte jedem vernünftig denken Menschen klar sein.

    Nun zu einigen kritisierten Punkten, deren Wiedergabe teils faktisch falsch ist und aus unserer Sicht schlampig recherchiert wurden (aber wir leben ja in postfaktischen Zeiten!).

    [ Zitat ]
    „Und dann können Sie mit einem „Geheimschlüssel“, der mindestens gigantische drei Zeichen lang sein soll, diesen tollen Passwortschutz aushebeln.
    [ Zitat Ende ]

    Das ist nicht korrekt. Hätten sich der/die Tester/in die Mühe gemacht, tatsächlich nur mit dem Secret-Key ein Passwort über das Kontakt-Formular anzufordern, wären sie (kläglich) gescheitert. Jede Anfrage diesbezüglich wird manuell geprüft. Treten bei dieser Prüfung Unstimmigkeiten auf, werden weitere Maßnahmen erforderlich. Bis zur Vergabe eines neuen Passwortes per Kontakt-Formular ist es ein beschwerlicher Weg, wenn man keine Alternative E-Mail-Adresse oder Handy-Nr. hinterlegt hat. Schließlich möchten wir und unsere Kunden nicht, dass Daten in falsche Hände geraten.

    [ Zitat ]
    Umfangreiche Einstellungen bei eclipso
    Dass die Einstellungen in der linken Navigation alphabetisch und nicht logisch sortiert sind, verwirrt.

    Darin entdecken wir den Menüpunkt „Verschlüsseln“ und danach eine Checkbox mit „standardmäßig aktivieren“.
    [ Zitat Ende ]

    -> Die alphabetische Sortierung hat sich als die logische und für unsere Kunden einfachste Variante heraus gestellt. Aber man kann auch kompliziert denken.

    Wir gehen weiter davon aus, dass der/die Tester/in wohl ein wenig übermüdet beim Verfassen dieses Beitrags gewesen ist, denn den Menüpunkt „Verschlüsseln“ gibt es nicht in unserem Einstellungs-Menü. Im Menü „Schlüsselbund“ hinterlegt man (wenn vorhanden) sein Zertifikat zur Verschlüsselung vonm E-Mails. Im Menü E-Mail -> E-Mail verfassen kann man „Verschlüsseln“ auswählen und erhält dann den genannten Hinweis, sofern man noch kein Zertifikat hinterlegt hat.

    [ Zitat ]
    Punkt 7.1 lässt uns staunen: Möchten Sie Ihren kostenpflichtigen Account ordentlich kündigen, gibt es Rückerstattungen nur dann, wenn Ihr Guthaben 10 € übersteigt und ausschließlich durch Einzahlungen entstanden ist.
    [ Zitat Ende ]

    Hier wird absichtlich ein falscher Sachverhalt dargestellt. Auszug unserer AGB:

    7.1 Das Vertragsverhältnis wird auf unbestimmte Dauer geschlossen und kann von beiden Parteien ohne Einhaltung einer Kündigungsfrist jederzeit beendet werden. Die Kündigung erfolgt durch Beendigung der Mitgliedschaft im Kundenmenü, durch den Nutzer selbst. Im Falle einer ordentlichen Kündigung wird ein Guthaben, sofern es EUR 10,00 übersteigt und alleine durch Einzahlungen auf das Creditkonto des Kunden entstanden ist, auf Verlangen des Nutzers erstattet. Zur Rückabwicklung vorhandenen Guthabens bei Kündigung wird eine Bearbeitungsgebühr i.H.v. 7,50 € erhoben.

    -> Es geht hier lediglich um das evtl. vorhandende Guthaben (Credits) und nicht um den kostenpflichten Account. Die Buchung eines kostenpflichtigen Tarifes fällt nicht in die Kategorie „Guthaben“.

    [ Zitat ]
    Dass die Server ausschließlich hierzulande stehen, erfreut uns; eine konkrete Angabe über den oder die Orte würden uns aber noch mehr erfreuen.
    [ Zitat Ende ]

    -> Technisch versiert, wie wir die Tester/in nun kennen gelernt haben, wäre es ein Leichtes gewesen, den Standort unserer Server herauszufinden. Aber wir sind ja nett und verraten deshalb gerne, dass unsere Server im Speedloc Datacenter in Görlitz zu Hause sind.

    Zum Schluß gestatten Sie uns ebenfalls ein Fazit:
    Natürlich gibt es immer etwas zu verbessern, das ist auch völlig normal und daran arbeiten wir. Unsere Kunden wissen um die Vorzüge unserer Plattform, dies wird in vielen Kundengesprächen immer wieder deutlich. Was Tester/innen von uns erwarten oder nicht, ist wenig zielführend und für uns nicht relevant.

    eclipso ist eben anders, unser Team bescheiden. Wir wissen um unsere Stärken und auch um unsere Schwächen. Gerne stehen wir bei Bedarf den Verfassern dieses Artikels persönlich Rede & Antwort.

    Jedenfalls freuen wir uns schon auf die nächste Ausgabe Ihrer Berichte und schmunzeln jetzt schon…

    Ihr Claus-Peter Beringer & Team.

    26. Januar 2017 @ 09:15 Antworten
    • Bianca Wellbrock | 31. Januar 2017

      Guten Tag Herr Beringer & Team,

      oh je, da haben Sie wohl missverstanden, wie wir testen. Oder wissen Sie das gar nicht, weil Sie sich vorher nicht in unserem Einführungsbeitrag schlau gemacht haben? Dann können Sie dies gerne nachholen: https://www.psw-group.de/blog/e-mail-anbieter-test-start-der-2-testrunde/3782 – dort wird alles erklärt. Gerne nehmen wir uns jedoch die Zeit für Sie und gehen auf Ihre Kritikpunkte ein.

      In der Tat, ein falsch eingestelltes Logo kann passieren. Das haben wir direkt ausgewechselt, hier haben Sie natürlich Recht. Bei Ihrem zweiten Absatz jedoch wird bereits sichtbar, dass Sie sich vor Ihrem Kommentar nicht über die Testkriterien schlau gemacht haben. Denn: tatsächlich kommen kostenfreie Anbieter grundsätzlich besser weg in unseren Tests. Ein Testkriterium ist: kostenlos (= 1 Punkt) oder kostenpflichtig (= 0 Punkte). Sie als kostenfreier Anbieter haben hier also einen Punkt mehr erhalten als die Sicherheitsanbieter, die Geld verlangen.

      Sie fragen nach dem Warum. Wissen Sie, Herr Beringer & Team, wir sind Sicherheitsanbieter. Beratend und praktisch tätig – seit mehr als 16 Jahren. Deshalb ist Sicherheit naheliegender Weise unser Hauptanliegen. Sie als Kostenfrei-Anbieter mit Werbung können per se nicht so sicher sein wie werbefreie Angebote. Das liegt nicht unbedingt an Ihnen, sondern vielfach an den genutzten Werbenetzwerken. Die Werbung erzeugt – wie im Text beschrieben – mixed Content, sodass Seiten nicht vollständig verschlüsselt werden. Das gibt Minuspunkte, wenn Sie von einem Sicherheitsanbieter wie uns getestet werden. Lassen Sie sich von Google Ad Network, von Trade Doubler oder sonst einem Werbenetzwerk testen, werden Sie sicher besser abschneiden als die Sicherheitsanbieter, die werbefrei agieren. Blöderweise machen eben solche Werbenetzwerke keine derartigen Tests – das würde zuweilen sicher die Sicherheitslücken solcher Netzwerke aufdecken.

      Tatsächlich hat es zwei Gründe, warum wir auf Leistungsdarstellungen bei Ihnen (im Übrigen auch beim nachfolgenden Anbietertest, auch das hat Gründe) verzichtet haben: der positive Grund ist der, dass Ihre verlinkte Tabelle ohnehin übersichtlicher ist als unsere Aufzählung sein könnte. Der zweite, jedoch negative Grund ist bereits im Text angesprochen: wir wussten nicht, ob wir der Tarifbeschreibung auf Ihrer Website trauen können, wenn wir in den Webmailer-Einstellungen unter „Account-Upgrade“ andere Beschreibungen finden.

      Punktabzug gab es darüber hinaus, weil weder IMAP noch E-Mail-Weiterleitungen im Freemail-Tarif enthalten sind. Das sind Standardfunktionen, die es überall inklusive gibt. Volle Punktzahl erhielten Sie wieder bei den Zusatzleistungen wie SMS- und Faxversand, wie im Text eben beschrieben. Mit dem Speicher haben Sie durchaus Recht, da lassen wir gerne mit uns reden! Wir haben die Details ergänzt. Dass Sie jedoch „mit Abstand den meisten, kostenlosen Speicherplatz“ anbieten, stimmt so nicht: Gmail bietet 15 GB, Yahoo Mail unschlagbare 1 TB. Sorry, da sind Sie weit entfernt und lassen Yahoo nur müde lächeln. Sie sehen: beide, Gmail & Yahoo Mail, sind Werbeanbieter. Die sind nicht schlecht, nur weil sie Werbung zeigen. Sie können nur nicht so sicher sein wie werbefreie Angebote. Da schließt sich der Kreis. Das verstehen Sie nun sicher.

      Auch hier haben Sie nur halb richtig gelesen: wir schreiben, wir verwenden zum Testen drei Browser. Chrome und Firefox ganz normal und ausschließlich (!) Opera mit VPN und Adblocker. Lesen Sie den Absatz „Werbung ausblenden verboten“ doch bitte noch mal genau.

      Zu Ihrem 1. Zitat zum Geheimschlüssel: wir testen, als seien wir User. Heißt: wenn wir lesen, wir bräuchten zur Passwortwiederherstellung nur den Secret Key, gehen wir irgendwie (naiver Weise?) davon aus, dass das stimmt, was Sie schreiben. Auf Ihrer Website ist zu lesen: „Als Secret Key können Sie einen speziellen Begriff, ein geheimes Wort oder eine spezielle Buchstaben-/Zahlenkombination angeben. Sollten Sie Ihr Passwort einmal vergessen haben und z. B. Ihre hinterlegte, alternative E-Mailadresse nicht mehr gültig sein oder keine Handy-Nr. In Ihrem Account hinterlegt haben, können Sie den Secret Key nutzen um ein neues Passwort anzufordern. Ihr persönlicher Sekret Key muss eine Mindestlänge von drei Zeichen haben.“ Statt uns schlampige Recherche vorzuwerfen, wäre es eine Option gewesen, uns zu erklären, wie es genau funktioniert – offenbar ja abweichend von dem, was sie auf Ihrer Website geschrieben haben. Als Erklärung lassen wir Ihre Erklärung einfließen: Jede Kontaktanfrage wird manuell von Ihren Mitarbeitern/ Mitarbeiterinnen geprüft und bis es zur Passwort-Vergabe kommt, ist es „ein beschwerlicher Weg“. Dass Sie und Ihre Kunden nicht möchten, dass Daten in falsche Hände geraten, ist doch großartig – dann wollen wir schon mal dasselbe. Vielleicht erklären Sie uns den Secret Key noch mal in seiner Wirkweise genauer (und auch, wie sicher oder unsicher der Secret Key „123“ wäre); das lassen wir dann sehr gerne in unseren Text einfließen (und vllt. ergibt sich dadurch dann tatsächlich eine bessere Wertung, da ein Sicherheitsfeature immerhin dazu kommen könnte).
      Sehr schade finden wir es übrigens, dass Sie sich ausschließlich zu unseren Kritikpunkten äußern. Dass wir absolut begeistert von Ihrer Passwortprüfung sind und es toll finden, dass Sie Ihre Ankündigung von vor zwei Jahren wahr gemacht haben, davon sagen Sie gar nichts. Wir haben noch mehr gelobt. Aber sei es drum, konzentrieren wir uns eben auf die Negativpunkte.

      Die Navigation in den Einstellungen: unsere Tester empfanden das als unlogisch. Wenn „unlogisch“ bzw. „alphabetisch“ für Sie und Ihre Kunden stimmiger ist, ist doch alles gut – hätten Sie die Bewertungskriterien gelesen, wüssten Sie, dass ein alphabetisches Menü keinesfalls in die Wertung eingeht. Das ist nun wirklich derartig subjektiv, dass es uns wundert, dass Sie sich das rausgreifen und sich daran aufhängen. Hm, vielleicht hatten Sie auch einen schlechten Tag und wir können ab jetzt vernünftig kommunizieren? Na, wir machen mal weiter:

      Auch bei Ihrem nächsten Kritikpunkt haben Sie sich leider verlesen. Wir schrieben: „Dass die Einstellungen in der linken Navigation alphabetisch und nicht logisch sortiert sind, verwirrt. Wir hatten zunächst „allgemeine Einstellungen“ erwartet, beginnen jedoch mit dem Abwesenheitsagenten, bevor Account-Upgrade und Alias-Adressen noch vor den allgemeinen Einstellungen kommen. Darin entdecken wir den Menüpunkt „Verschlüsseln“ und danach eine Checkbox mit „standardmäßig aktivieren“.“ „Darin entdecken wir“ – also in den „allgemeinen Einstellungen“ findet sich der Punkt „Verschlüsseln“. Vielleicht hilft hier ein Kaffee zum munteren Lesen 😉

      „Absichtlich“ stellen wir keinesfalls falsche Sachverhalte dar! Wir können gerne über das Verständnis diskutieren: Wenn Sie in Ihren AGB schreiben: „Im Falle einer ordentlichen Kündigung wird ein Guthaben, sofern es EUR 10,00 übersteigt und alleine durch Einzahlungen auf das Creditkonto des Kunden entstanden ist, auf Verlangen des Nutzers erstattet. Zur Rückabwicklung vorhandenen Guthabens bei Kündigung wird eine Bearbeitungsgebühr i.H.v. 7,50 € erhoben.“, verstehen wir das, wie im Text beschrieben: wenn der kostenpflichtige Account gekündigt wird, muss das Guthaben 10 € übersteigen und per Einzahlungen entstanden sein. Dann entstehen 7,50 € Gebühr zur Rückabwicklung. Dass die Buchung eines kostenpflichtigen Tarifs nicht in die Kategorie „Guthaben“ fällt, steht nirgends geschrieben (zumindest nicht auffindbar für uns). Was fällt denn dann in die Kategorie „Guthaben“? Klären Sie uns bitte auf, damit wir unseren Text anpassen können.

      Das ist in der Tat sehr nett, dass Sie uns den Serverstandort genauer verraten. Noch mal: wir testen, als seien wir User. Wir werden in unseren Tests zu Usern. Wir nutzen also das Offensichtliche. Im Übrigen haben Sie beim Serverstandort die volle Punktzahl erreicht. Auch ohne konkrete Nennung. Wert legen wir auf die Nennung des Landes. Wenn wir dann noch den konkreten Standort erfahren, freut uns und unsere Leser das. Mehr steckt nicht dahinter.
      Es ist sehr traurig, dass Sie derartig negativ reagieren. Da Sie jedoch, wie Sie schreiben, Tests als „wenig zielführend und für uns nicht relevant“ erachten, staunen wir, wie viel Zeit Sie sich für das Eingehen auf unseren Testbericht nehmen! Das finden wir ja einerseits gut, hätten uns aber andererseits gewünscht, Sie hätten zum einen unseren Bericht zur Wertung gelesen und zum anderen, Sie hätten unseren Testbericht besser gelesen. Denn viele Ihrer Kritiken erweisen sich jetzt als schlichte Lesefehler. Wenn Sie bei unseren Tests „schmunzeln“, ist das einfach unhöflich. Sie haben jederzeit die Chance, auf professionellem Niveau mit uns zu diskutieren – wir sind immer gesprächsbereit, wie wir zeigten: gerne passen wir die Tests an, wenn wir etwas missverstanden haben. Reine Beleidigungen, ein Absprechen von Kompetenzen und arrogante Kommentare zu falsch verstandenen Sachverhalten jedoch braucht kein Mensch! Gehen Sie gerne noch auf die von uns angesprochenen Details ein – oder lassen Sie es einfach, weil Tests und Meinungen ja ohnehin nicht relevant für Sie sind.

      Alles Gute,
      das PSW GROUP-Redaktionsteam

      31. Januar 2017 @ 06:36 Antworten
      • Claus-Peter Beringer | 31. Januar 2017

        Sehr geehrtes PSW-Team,

        vielen Dank für Ihre Ausführungen. Wir möchten nicht erneut auf bereits genannte Punkte eingehen, könnten aber noch seitenweise Argumente austauschen.

        Natürlich haben wir Ihre Testbedingungen gelesen und uns auf einen sachlich, fundierten Bericht gefreut. Wäre das der Fall gewesen, hätten wir uns nicht veranlasst gesehen, den Bericht zu kommentieren.

        In einem Vergleichstest werden Fakten verglichen. Es wird nichts weggelassen, da ansonsten die Vergleichbarkeit für den Leser nicht gegeben ist. Genausowenig wie etwas dazu gedichtet werden sollte. In einem Faktencheck und journalistisch wertigen Bericht sind u.E. Vermutungen, ungeprüfte Annahmen, Unterstellungen und persönliche Empfindungen fehl am Platze. Beispiele?

        „…Selten haben wir beim Testen so häufig das fragende Geräusch „Häää?“ vernommen wie heute…“
        „…erweist sich als nicht sonderlich clever…“
        „…Ein mehr als fragwürdiger Schutz…“
        „…haben Sie also möglicherweise Pech…“
        „…würden wir es als größten Witz überhaupt empfinden…“
        „…zu der Tatsache, dass eclipso andeutet, E-Mails zu analysieren…“

        und einige mehr.

        Verzeihen Sie uns daher, wenn wir uns angepasst und in unserem Fazit zu einem „Schmunzeln“ hinreißen haben lassen. Wir würden uns künftig über eine sachlichere und auf Fakten reduzierte Berichterstattung freuen.

        Die aufgezeigten Fehler, (z.B. Angaben zur Möglichkeit zur Verschlüsselung von E-Mails), nehmen wir selbstverständlich gerne zum Anlass, unsere Seiten auf inhaltliche Fehler hin zu überprüfen und natürlich zu korrigieren. Tatsächlich ist es heute schon möglich, auch im Tarif eclipso Freemail (eigene) Zertifikate zu importieren. Auf unserer Übersichtsseite ist das tatsächlich leider falsch dargestellt und wird schnellstmöglich geändert. Im Backend jedoch wird es korrekt angezeigt.

        Ihr Claus-Peter Beringer

        31. Januar 2017 @ 17:02 Antworten