E-Mail-Anbieter-Test: Web.de & GMX

Unsere heutigen beiden Testkandidaten Web.de und GMX gehören zur selben Mutter, nämlich zur 1&1 Mail & Media GmbH (davor zur United Internet AG) und damit auch zur Initiative „E-Mail made in Germany“. Unser Web.de-Test endete vor zwei Jahren mit Kopfschütteln: Weder die Leistungen noch die Sicherheit zeigten sich brauchbar.

GMX offerierte zwar ein für Nutzer sehr reichhaltiges Angebot, jedoch warnten wir vor Abofallen und forderten Nachbesserungen bei der Sicherheit. Zufriedenstellend waren beide Tests keineswegs. Heute schauen wir, was sich bei den Freemail-Anbietern getan hat.

Web.de & GMX: Angebote der United Internet AG

Wie bereits erwähnt, sind beide Freemail-Anbieter Bestandteil der 1&1 Mail & Media GmbH und damit Mitglieder der Initiative „E-Mail made in Germany“. In unserem GMX-Testbericht von vor zwei Jahren zeigten wir die Vor- und Nachteile dieser Initiative ausführlich auf. All das hat auch heute noch Bestand.

Einstiegshürden bei Web.de

Möchten Sie einen Freemail-Account von Web.de, können Sie sich auf der Registrierungs-Seite einen kostenlosen Account erstellen. Die Site wird stark verschlüsselt (TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, 256-Bit-Schlüssel, TLS 1.2), jedoch wird eine anfällige Cipher mit dem veralteten SHA-1-Hashalgorithmus verwendet.

Damit sind Ihre Eingaben nicht absolut sicher; Angriffe auf SHA-1 waren bereits erfolgreich und mit Beginn des kommenden Jahres akzeptieren zahlreiche Browser SHA-1 nicht mehr. Weitere Informationen zum Thema lesen Sie bitte in unserem Beitrag „SHA-1 wird verabschiedet, SHA-2 startet“ nach.

Die Daten, die Sie zur Registrierung benötigen, sind die umfangreichsten der diesjährigen Testkandidaten: Anrede, Vor- und Nachname, Land, PLZ und Ort, Straße und Hausnummer sowie Ihren Geburtstag. Optional ergänzen Sie E-Mail-Adresse sowie Mobilfunknummer. Eine geheime Frage mit Antwort soll nebst Mobilfunknummer und E-Mail-Adresse die Passwort-Wiederherstellung ermöglichen.

Passwort-Sicherheit bei Web.de

Als wir beim Registrieren das Passwort wählen möchten, probieren wir wieder etwas herum. Web.de erklärt, dass das Passwort zwischen 8 und 40 Zeichen haben muss. Sicherheitstipps werden  als Tooltip per Mouse over angezeigt: ideal seien 12 – 15 Zeichen, ein Mix aus Ziffern und Buchstaben sowie Groß- und Kleinschreibung. Auch Sonderzeichen seien gut. Wir probieren:

• „Passwort“ stuft die Sicherheitsampel als mittelmäßig ein; die Sicherheitsampel springt auf gelb.
• „123456“ ist zu kurz, „12345678“ lässt die Sicherheitsampel erneut auf gelb springen. Bei „12345678!“ freut sich Web.de: die Sicherheitsampel wird leider grün.
• „P4sswort“ findet Web.de genauso toll wie den vorigen Versuch: die Ampel wird grün, der Nutzer wiegt sich in Sicherheit.
• Auch mit „Mayerin83“, auch hier Bestandteil der E-Mail-Adresse, hat Web.de kein Problem: grün und sicher. Das ist bitter!

Auch die geheimen Sicherheitsfragen stimmen uns nachdenklich: unser Tester hat den Wohnort Fulda angegeben und eine der Geheimfragen lautet, in welcher Stadt man geboren wurde. Vermengt mit unsicheren Passwörtern ist diese Geheimfrage wahrlich kein sicheres Schloss an der Tür zu Ihrem Account.

Web.de verweist auf Rechtstexte

Nachdem Sie alle Registrierungsdaten ausgefüllt haben, werden Sie von Web.de auf die AGB, die Freemail Leistungsbeschreibung, die Besonderen Nutzungsbedingungen für SMS- und MMS-Nutzung sowie auf die Datenschutzhinweise aufmerksam gemacht. Stimmen Sie all dem zu, schließen Sie Ihre Registrierung ab.

Nach der Registrierung werden wir auf das kostenpflichtige Web.de-Angebot aufmerksam gemacht. Man könne sich eine Willkommensüberraschung nebst 100 GB Online-Speicher und einer einmonatigen Gratis-Nutzung sichern – inklusive automatischer Verlängerung um weitere 12 Monate für eine Monatsgebühr von 5 Euro. Wir umgehen die riesige „Kaufen“-Schaltfläche und klicken lieber auf das verschwindend klein wirkende „weiter zum Postfach“ daneben.

Allerdings kommen wir nicht weit: Web.de möchte uns als Willkommensgruß ein Testangebot einer Zeitschrift aufschwatzen. Die dazugehörige Checkbox ist glücklicherweise nicht vorangekreuzt. Wir wählen erneut die „Weiter zum Postfach“-Schaltfläche.

Drei ungelesene Web.de-Mails

Wir sind endlich in unserem Postfach gelandet. Dort warten bereits drei Nachrichten von Web.de auf uns: Eine Willkommens-E-Mail mit unseren persönlichen Daten und einigen Hinweisen zu Apps, Möglichkeiten des E-Mail-Empfangs sowie zur Initiative „E-Mail made in Germany“. Zurück im Postfach halten wir die Werbung zunächst für weitere eingegangene E-Mails, entdecken jedoch auf den zweiten Blick den Anzeigen-Charakter.

In der zweiten E-Mail erklärt uns Web.de, wie man E-Mails und Kontakte umziehen kann, wie Termine übertragen und Dateien gespeichert werden. Nützlich ist dieses Wissen natürlich, jedoch hätte man dies auch in der ersten Mail unterbringen können.

Die dritte und letzte E-Mail erklärt die Web.de-Vorteilswelt; insbesondere den Musik-Streaming-Dienst Deezer. Als Dankeschön können wir „grenzenlosen Musikgenuss mit Deezer“ in einem Gratis-Probemonat testen. Wir fühlen uns schon jetzt ziemlich erschlagen von dieser Informationsflut, denn auch die Deezer-Werbung hätte man in die erste E-Mail packen können.

Zusammenfassung Einstiegshürden:

• Einfachheit: die anfängliche Einfachheit versaut sich Web.de dadurch, dass User ständig Werbung weiterklicken müssen, 0 Punkte
• Sicherheit/ Seitenverschlüsselung: gut, dass http-Site nicht erreichbar ist, schlecht jedoch, dass SHA-1 Einsatz findet, unsicher, also 0 Punkte
• Passwortvergabe: lässt auch unsichere Passwörter durch, 0 Punkte
• notwendiger Datenumfang: bislang die umfangreichsten Registrierungsdaten nötig, 0 Punkte
• vorangekreuzte Checkboxen: nein, 1 Punkt

Damit erreicht das Freemail-Angebot von Web.de bei den Einstiegshürden 1 von 5 Punkten.

Usability bei Web.de

In einer der drei Begrüßungs-E-Mails fanden wir einen Link mit einer ausführlicher Leistungsbeschreibung von Web.de:

• umfangreiche Zusatzfeatures (Kalender, SMS & MMS [jeweils kostenpflichtig], Online-Speicher für Fotos und Dateien, Ordner-Freigabe für Dritte)
• Mail-App für iOS, Android & Windows
• Speicher: 1 GB im Standard, 10 GB bei Nutzung des Web.de-MailCheck
• IMAP/POP3 möglich
• Bis zu 40 individuelle Ordner anlegen
• bis zu drei bestehende Mailpostfächer verbinden/ importieren
• bis zu 20 MB Anhang-Größe
• Briefpapier, Smilies, Grußkarten, Abwesenheitsschaltung
• Spamfilter per Default aktiv, individuelle Anti-Spam-Filterregeln, Virenprüfung bei allen ein- und ausgehenden E-Mails

Das ist eine umfangreiche Featureliste – zumindest auf den ersten Blick. Mit 20 MB Anhang-Größe zeigt sich Web.de nicht sehr großzügig. Dass man zur Nutzung des MailChecks für Benachrichtigungen dahingehend erpresst wird, den Online-Speicher zu erweitern, sorgt für einen faden Beigeschmack. Positiv sind die umfangreichen Zusatzfeatures, die jedoch zum Teil Kosten verursachen können.

Werbeeinblendungen bei Web.de

Während die Site web.de selbst ja Böses befürchten lässt, hält sich die Werbung im Postfach dann tatsächlich sehr in Grenzen. Die beiden Anzeigen von vorhin, die wir fast für E-Mails gehalten hatten, gingen mit einem Klick aufs Schließen-Kreuz kinderleicht auszublenden. Seither wurde keine weitere Werbung eingeblendet.

Die Hilfeseiten erklären und vergessen dabei nicht, auf den kostenpflichtigen Web.de-Club mit seiner Werbefreiheit zu verweisen. Auch in versendeten E-Mails fanden wir keinerlei Werbeeinblendungen. Hier punktet Web.de überraschend, unsere Tester hätten mit deutlich mehr gerechnet.

Einfacher E-Mail-Versand, tückischer Empfang

Um eine E-Mail zu versenden, ist nicht viel technisches Geschick bei Web.de notwendig. Intuitiv finden Sie die richtigen Schaltflächen zum Versenden Ihrer Nachrichten. Empfangen Sie jedoch eine E-Mail von einer Adresse, mit der Sie bislang noch nichts zu tun hatten, könnte diese im Spam-Ordner landen. Genau genommen landete jede unserer Test-Mails im Web.de-Spamordner. Nicht-versierte User, die womöglich erstmals ein Postfach einrichten, könnten dabei E-Mails übersehen.

Per Default ist die Einstellung aktiviert, dass Sie den Web.de-Vorteilswelt-Newsletter erhalten sollen. In den Einstellungen können Sie diesen Empfang deaktivieren. Sie können sich allerdings nicht ganz befreien: Den Newsletter mit aktuellen Informationen müssen Sie empfangen, Sie können sich nirgends abmelden.

Zusammenfassung Usability:

• Preis-Leistungsverhältnis (Kosten vs. Funktionen): kostenfrei (1 Punkt), Standardfunktionen vorhanden (1 Punkt), Zusatzfunktionen vorhanden (1 Punkt) – also 3 Punkte
• Werbeeinblendungen auf der Website: dezent, aber wie eine E-Mail „getarnt“, deshalb versehentlich klickbar, 2 Punkte
• Anmeldung/ Login-Prozess: einfach, 2 Punkte
• E-Mail-Versand & -Empfang: E-Mail-Versand kinderleicht, empfangene E-Mails landen höchstwahrscheinlich im Spam-Ordner, sodass sie übersehen werden können, 1 Punkt
• (Pflicht-)Newsletter: ja, nicht abbestellbar, 0 Punkte

Damit erreicht das Freemail-Angebot von Web.de bei der Usability 8 von 11 Punkten.

Rechtstexte bei Web.de

Bereits bei der Registrierung wurden wir darauf aufmerksam gemacht, den Nutzungsbedingungen, den besonderen Nutzungsbedingungen für kostenpflichtige Web.de-Dienste im Rahmen von Freemail sowie den Datenschutzhinweisen zuzustimmen. Ausgehend vom Postfach finden wir keine Links auf die Rechtstexte, im Footer der Startseite jedoch können wir die Rechtstexte aufrufen.

Sämtliche Rechtstexte erfuhren im Jahre 2016 Anpassungen. Wir arbeiten uns von den Nutzungsbedingungen zu den Datenschutzhinweisen vor:

Nutzungsbedingungen bei Web.de

Nachdem Web.de den Geltungsbereich abgeklopft hat, erfahren wir, dass sich Personen unter 14 Jahren nur mit Einwilligung des Erziehungsberechtigten registrieren dürfen. Ausschließlich der privaten Nutzung ist das Angebot des Freemail-Anbieters zugedacht; Haftungen entstehen Web.de aus geschäftlicher Nutzung und etwaigen Schäden nicht.

Wir lesen über den Newsletter, der sich nirgends abbestellen lässt. Nutzer verpflichten sich zur vollständigen und richtigen Angabe persönlicher Daten. Über Änderungen sei Web.de unverzüglich zu unterrichten. Fragt Web.de entsprechend an, sind Nutzer in der Pflicht, ihre Daten zu bestätigen.

Es folgen Widerrufsbelehrung inklusive Kontaktadressen, Widerrufsfolgen und ein Widerrufsformular. Das hat Web.de vorbildlich gestaltet, denn so wird Kunden der Widerruf enorm vereinfacht.

Pflichten des Web.de-Freemail-Nutzers

Unter den Pflichten des Freemail-Nutzers gibt Web.de an, dass nach sechsmonatiger Inaktivität alle im Account gespeicherten Inhalte (E-Mails und sonstige Dateien) gelöscht werden. Nach einem Jahr der Inaktivität darf Web.de auch die E-Mail-Adresse des Nutzers wieder freigeben.

Das Geheimhalten der Zugangsdaten, insbesondere des Passworts, ist eine weitere Nutzer-Pflicht. Gelangen Unbefugte in Kenntnis des Passworts, sei Web.de unverzüglich zu informieren. Der Kunde haftet gegenüber Web.de, wenn der unbefugte Dritte mithilfe des unzureichend gesicherten Passworts Leistungen nutzt.

Weiter obliegt dem Kunden das Sichern seiner Daten – Web.de möchte das „in regelmäßigen Abständen (mindestens einmal täglich)“. In solchen Intervallen wird sicherlich niemand sein privates E-Mail-Postfach sichern. Somit dürften mindestens 99 % aller Web.de-Nutzer gegen die AGB verstoßen – nur Web.de ist fein raus, falls es doch mal eine Datenpanne geben und Nutzer Datenverlust erleiden sollten.

Web.de nimmt sich das Recht, die Allgemeinen Geschäftsbedingungen „jederzeit ohne Angabe von Gründen zu verändern, umzustellen, einzuschränken oder einzustellen“. Sie werden mindestens sechs Wochen im Voraus per Mail oder SMS informiert.

Ihre Daten für Marketingzwecke

Der Beginn der Nutzungsbedingungen für kostenpflichtige Web.de-Angebote liest sich ziemlich normal: Rechte und Pflichten von Nutzern und der 1&1 Mail & Media GmbH werden erklärt. Dann kommt der Punkt „Datenschutz“ und wir lesen unter 9.3: „Die 1&1 Mail & Media ist berechtigt, die personenbezogenen Daten des Nutzers im Rahmen der kostenpflichtigen WEB.DE-Dienste für Marketing-Zwecke zu verwenden.“

Bitte bedenken Sie: Sie gehören zu diesem Personenkreis, wenn Sie auch nur eine SMS oder MMS über das kostenfreie Web.de-Angebot versenden! Genauso spannend ist der Hinweis unter 9.4: Ihre Adress- und Negativdaten landen in einer zentralen Datei. Sie können an andere mit der Mutter verbundene Unternehmen übermittelt werden. „Solchermaßen mit der 1&1 Internet AG und der United Internet AG verbundenen Unternehmen werden diese Daten bei berechtigtem Interesse zweckgebunden unter Berücksichtigung der schutzwürdigen Interessen des Kunden zur Verfügung gestellt.“

Ein „berechtigtes Interesse“ seitens eines Unternehmens ist es etwa, Produkte und Dienstleistungen zu bewerben. Das Berücksichtigen Ihres schutzwürdigen Interesses meint beispielsweise, auf Ihren etwaigen Widerspruch einzugehen. Sie sehen: viele wohlklingende Worte, die eigentlich nur meinen, dass die Mutterkonzerne mit Ihren Daten umgehen und sie an verbundene Unternehmen weiterleiten dürfen, wenn Sie keinen Widerspruch eingelegt haben.

Der Datenschutz bei Web.de

Die Datenschutzhinweise erklären zunächst, dass Ihre personenbezogenen Daten auch ohne weitere Einwilligung „für die Vertragsbegründung und -abwicklung sowie zu Abrechnungszwecken“ verwendet werden. So weit, so logisch. Jetzt aber hört die Logik auf: Eine weitergehende Einwilligung braucht es auch nicht, um Ihre personenbezogenen Daten für folgende Zwecke zu verwenden:

• E-Mail-Werbung, Markt- und Meinungsforschung per Mail für die hauseigenen Waren und Dienstleistungen
• Postalische Werbung sowie Markt- und Meinungsforschung
• Spendenwerbung für Non-Profit-Organisationen

Widerspruch können Sie glücklicherweise einlegen. Wieder kommt der Hinweis, dass Ihre Adress- und Negativdaten auch anderen Konzernunternehmen übermittelt werden.

Umgang mit Nutzungs- und Verkehrsdaten

Als Nutzungsdaten beschreibt Web.de „zum Beispiel Angaben über Beginn, Ende und Umfang der Nutzung bestimmter Telemediendienste“. Diese und die Verkehrsdaten bei E-Mail-Diensten werden derart erhoben, verarbeitet und genutzt, wie es das Inanspruchnehmen des Dienstes erfordert. Auch, um die Abrechnung genau zu gestalten, erfasst Web.de „in der Regel […] Datum und Uhrzeit sowie Zeitzone des Beginns und Endes der Nutzung, der Umfang in Bytes, die Nutzer-IP-Adresse und die Art des in Anspruch genommenen Telemedien- beziehungsweise Telekommunikationsdienstes“.

Abrechnungsdaten speichert der Konzern „längstens bis zu sechs Monate nach Versendung der Rechnung“. Darüber hinaus werden Daten gespeichert, wenn die Rechnung noch unbezahlt oder unklar ist „oder gesetzliche Vorschriften die längere Aufbewahrung vorsehen“.

Der Aufsicht der Bundesbeauftragten für Datenschutz und Informationsfreiheit unterliegend verspricht Web.de, „nie den Inhalt Ihrer E-Mails für eigene Zwecke“ auszuwerten. Das lesen wir genauso gerne wie die Tatsache, dass sich „alle Daten Ihres E-Mail Accounts bei der 1&1 Mail & Media GmbH […] ausschließlich in eigenen Hochleistungs-Rechenzentren innerhalb Deutschlands“ befinden.

Datenlöschung und -weitergabe

Ihre Bestandsdaten löscht Web.de „in der Regel mit Ablauf des auf die Beendigung des Vertragsverhältnisses folgenden Kalenderjahres“. Stehen der Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen im Wege, so gelten diese. Ihre Nutzungs- bzw. Verkehrsdaten werden nach Beenden des Nutzungsvorgangs bzw. der Verbindung gelöscht.

Diensteanbieter und Dritte erhalten Ihre Abrechnungsdaten in dem Maße, in dem es zum Ermitteln des Entgelts sowie zum Abrechnen erforderlich ist. Auch ist Web.de berechtigt, „Auskunft an Strafverfolgungsbehörden und Gerichte für Zwecke der Strafverfolgung zu erteilen“.

Zielgruppenbezogene Werbung

Um zielgruppenbezogene Werbung zu steuern, werden Ihre Daten anonymisiert und mittels Pseudonym mit anderen Daten zusammen verwendet. Sie können aufgrund dieser Maßnahmen nicht persönlich identifiziert werden. Möchten Sie keine zielgruppenbezogene Werbung ausgeliefert bekommen, können Sie dem Opt-Out-Link folgen.

Im Wesentlichen gilt dasselbe für die Mobile-Apps von Web.de: Ihnen wird eine persönliche Identifikation (ID) zugeordnet, jedoch ohne Personenbezug. Unter Android und iOS können Sie die Werbe-ID zurücksetzen und interessenbezogene Werbung deaktivieren.

Deaktivieren Sie zielgruppenorientierte Werbung, so bedeutet dies lediglich, dass Sie dafür nicht mehr getrackt werden. Werbung wird weiterhin ausgeliefert.

Web.de setzt auf das Messverfahren der INFOnline GmbH, welches statistische Kennwerte zur Nutzung des Angebots ermittelt und anonymisiert nutzt. Dem deutschen Datenschutzrecht angeschlossen, soll eine Nutzeridentifikation jederzeit „durch technische und organisatorische Maßnahmen“ ausgeschlossen werden. Nach spätestens 7 Monaten werden diese Nutzungsvorgänge gelöscht und auch ein Widerspruch ist möglich.

Änderungen jederzeit möglich

Zum Schluss verweist Web.de noch auf die Möglichkeit, sich Auskünfte über gespeicherte Daten einholen zu können. Auch spricht der Freemail-Anbieter Änderungen der Datenschutzhinweise an: Diese könnten jederzeit geschehen, Nutzer sollten immer mal schauen.

Insgesamt sind uns schon deutlich gruseligere Rechtstexte begegnet. Ihre Daten werden intern recht munter verwendet: Konzernintern dürfen Ihre personenbezogenen Daten verwendet und verarbeitet werden; selbst für E-Mail- und postalische Werbung mit Ihren Daten ist keine gesonderte Einwilligung notwendig. Nach außen wird jedoch nichts gegeben, dem man nicht widersprechen könnte.

Zusammenfassung Rechtstexte:

• Auffindbarkeit: gut, 2 Punkte
• Verständlichkeit: gut, keine Unklarheiten, 2 Punkte
• Klarheit/ Eindeutigkeit: klar & verständlich, kein Fachchinesisch, 2 Punkte
• Inhalt: einige Mängel (konzerninterne Weitergaben; anonymisierter Sammlung & Nutzung kann widersprochen werden, jedoch braucht es keine Einwilligung für die Verwendung personenbezogener Daten für E-Mail- sowie postalische Werbung), 2 Punkte

Damit erreicht das Freemail-Angebot von Web.de bei den Rechtstexten 8 von 9 Punkten.

Sicherheit bei Web.de

Möchten Sie sich bei Web.de einloggen, führt Ihr Weg zur Web.de Startseite. Die schaut aus wie ein Magazin: bunte Infos, viel Werbung, Sport, Promis und Wetter. Blöderweise setzt das verwendete SSL-Zertifikat auf den veralteten und unsicheren Hash-Algorithmus SHA-1. So ganz wohl sollte Ihnen beim Einloggen nicht sein, denn Ihre Login-Daten können Sie nicht abhörsicher eingeben.

Sind Sie im Mail-Interface angekommen, ist die Site sicher verschlüsselt. Das kann jedoch nicht immer gewährleistet werden: Häufig kommt es aufgrund der Bannerwerbung an der rechten Seite oder aufgrund anderer Grafiken dazu, dass nicht alle Inhalte zuverlässig verschlüsselt werden. Achten Sie bitte auf die Darstellung im Browser; viele aktuelle Browserversionen warnen vor unsicher verschlüsselten Sites.

Verschlüsselung von E-Mails bei Web.de

Sichere Verschlüsselung in drei Schritten – das verspricht Web.de, wenn man in den Einstellungen unter „Sicherheit“ zu „Verschlüsselung“ navigiert. Eine Anleitung stellt Web.de auf der Verschlüsselungsinfo-Site bereit. Für die Browser Chrome und Firefox soll man die Erweiterung Mailvelope installieren. Das Heidelberger Unternehmen Mailvelope erklärt die Kooperationen auf seiner Website.

Nach dem Installieren der Erweiterung vergeben Sie ein Schlüsselpasswort, anschließend sichern Sie idealerweise Ihre Daten inklusive diesem Schlüsselpasswort. Nachdem Sie dieser Einrichtung gefolgt sind, können Sie auf das Schlosssymbol neben „E-Mail schreiben“ klicken, um verschlüsselt zu kommunizieren. Auch der Empfänger muss die verschlüsselte Kommunikation bereits eingerichtet haben.

Verschlüsselung ist etwas Exklusives bei Web.de

Das Einrichten der Verschlüsselung ist in der Tat kinderleicht, wenngleich auch hier die Passwort-Prüfung extrem zu wünschen übrig lässt! „P4sswort“ ging problemlos durch – noch mal: es geht um ein Schlüsselpasswort für die Sicherung von E-Mails mittels Verschlüsselung.

Nun senden wir E-Mails wild hin und her – möglichst verschlüsselt. Das Verschlüsseln ist jedoch etwas Exklusives bei Web.de: Nur anderen Teilnehmern der Initiative „E-Mail made in Germany“ werden verschlüsselte E-Mails zugestellt. Das Gros unserer Testmails, das auch Nicht-Teilnehmer der Initiative erreicht, bleibt offen wie ein Scheunentor. Im Verbund wird also Ende-zu-Ende-verschlüsselt, außerhalb existiert nur eine Transportverschlüsselung (TLS1.2:DHE_RSA_AES_256_GCM_SHA384:256).

Sonstige Sicherheitsparameter bei Web.de

Tja, dieser Absatz ist sehr kurz: es existieren keine weiteren Sicherheitstools, die das Nutzen von Web.de für Sie sicherer macht.

Zusammenfassung Sicherheit:

• Seitenverschlüsselung (Login-Site & Mail-Interface): aufgrund von Werbung und/ oder Grafiken nur teilweise sichere Verschlüsselung, außerdem Verwendung des veralteten SHA-1, was als unsicher gilt, 1 Punkt
• E-Mail-Verschlüsselung: ausschließlich E-Mails, die an Provider gehen, die Mitglied der Initiative „E-Mail made in Germany“ sind, werden verschlüsselt, 0 Punkte
• sonstige Sicherheitsfeatures: keine, 0 Punkte
• Serverstandorte: ausschließlich in Deutschland, 3 Punkte
• Serververschlüsselung: k. A., 0 Punkte
• Datenspeicherung auf Servern: zu viel (recht umfangreiche Registrierungsdaten, E-Mails, Dateien – mind. solange der Account besteht, maximal, solange es gesetzliche, vertragliche sowie satzungsmäßige Fristen vorsehen; außerdem Speicherung in zentraler Datei beim Mutterkonzern), 0 Punkte

Damit erreicht das Freemail-Angebot von Web.de bei der Sicherheit 4 von 14 Punkten.

Einstiegshürden bei GMX

GMX und Web.de haben dieselbe Mutter. So ist es wenig verwunderlich, dass auch die Startseite von GMX sehr bunt, werbelastig und auf Entertainment aus ist. Auch das verwendete SSL-Zertifikat ist dasselbe und damit auch unsere obige SHA-1-Kritik.

Das Formular zum Registrieren kennen wir ebenfalls von Web.de. Bei GMX ist es blau, bei Web.de gelb – Datenumfang und Passwortsicherheit bleiben gleich hoch bzw. niedrig. Wieder wählen wir die denkbar unsichere Geheimfrage nach unserer Geburtsstadt, wieder geht die in unserer Adresse enthaltene Antwort durch.

Eines unterscheidet sich von Web.de: Ganz unten, bevor Sie zustimmen und Ihren Account anlegen, ist eine nicht vorangekreuzte Checkbox mit dem Angebot, das kostenfreie Plus-Upgrade durchzuführen. Sie können monatlich 10 FreiSMS bzw. 2 FreiMMS dagegen eintauschen, „gelegentlich interessante Angebote von GMX Partnern per Post oder E-Mail“ zu erhalten. Sprich: Sie tauschen Daten gegen Leistung. Wir stimmen dem nicht zu, nehmen die AGB und Datenschutzhinweise zur Kenntnis und registrieren uns.

Noch eine Auffälligkeit: während Web.de darauf hinwies, dass Mobilfunknummer und E-Mail-Adresse für die Passwortwiederherstellung optional angegeben werden können, schaut es bei GMX nach einem Pflichtfeld aus. Wir lassen die Angaben einfach weg und können dennoch in der Registrierung weitergehen. Ärgerlich, dass wahrscheinlich sehr viele GMX-User diese Felder ausgefüllt haben, obwohl dies unnötig wäre. Hier wäre seitens GMX ehrliche Kommunikation wünschenswert!

Schon wieder Willkommensgeschenke

Das Angebot, eine Zeitschrift abonnieren zu dürfen, erhalten wir auch von GMX – übrigens dieselbe Zeitschrift, die uns bereits Web.de aufschwatzen wollte, als wir nur zu unserem Postfach wollten. Wie schon Web.de möchte auch GMX nach einem Klick auf „Weiter zum Postfach“ darüber informieren, was GMX TopMail, das kostenpflichtige Angebot, alles kann. Wir lehnen den Gratis-Probemonat ab und möchten weiter zum Postfach.

Auch hier schaut es aus wie bei Web.de, nur in blau. Uns begrüßen lediglich zwei Willkommens-Mails. Da wäre die, die uns empfiehlt, Kontakte, E-Mails und Dateien umzuziehen, und die E-Mail mit unseren persönlichen Daten in der Übersicht. Im Posteingang sehen wir auch die als E-Mail „getarnte“ Werbung, die sich wegklicken lässt.

Zusammenfassung Einstiegshürden:

• Einfachheit: die anfängliche Einfachheit versaut sich auch GMX dadurch, dass User ständig Werbung weiterklicken müssen, 0 Punkte
• Sicherheit/ Seitenverschlüsselung: gut, dass http-Site nicht erreichbar ist, schlecht jedoch, dass SHA-1 Einsatz findet, unsicher, also 0 Punkte
• Passwortvergabe: lässt auch unsichere Passwörter durch, 0 Punkte
• notwendiger Datenumfang: neben Web.de bislang die umfangreichsten Registrierungsdaten nötig, 0 Punkte
• vorangekreuzte Checkboxen: nein, 1 Punkt

Damit erreicht das Freemail-Angebot von GMX bei den Einstiegshürden 1 von 5 Punkten.

Usability bei GMX

Auch die Leistungen von Web.de und GMX ähneln einander. Ein Unterschied besteht im Speicher: 1 GB haben Sie automatisch, 0,5 GB kommen bei Nutzung des GMX MailChecks hinzu. Bis zu 10 GB Cloud-Speicher stehen darüber hinaus für Fotos und Dateien zur Verfügung.

Die Werbung wird bei GMX genauso platziert wie bei Web.de: Auch hier ist Vorsicht geboten, nicht versehentlich auf die Werbung zu klicken, die sich als E-Mail tarnt. Wie schon bei Web.de können Sie diese Werbeeinblendungen leicht wegklicken.

Bei GMX geht der E-Mail-Empfang leichter

GMX macht nicht denselben Fehler wie Web.de und schmeißt eingehende E-Mails in den Spam-Ordner. Unsere Testmails landen da, wo sie hingehören: im Posteingang. Versand und Empfang sind kinderleicht, logisch und intuitiv.

Auch GMX möchte, dass Sie bei Angeboten zuschlagen. Dementsprechend sind drei Newsletter per Default aktiv: der Vorteilswelt-Newsletter, der GMX Magazin-Newsletter sowie eine Geburtstagsmail. In Ihren Einstellungen können Sie unter „Newsletter“ den Vorteilswelt-Newsletter sowie die Geburtstagsmail abbestellen, das Magazin müssen Sie empfangen. Möchten Sie das nicht, können Sie das kostenfreie GMX-Angebot nicht nutzen.

Zusammenfassung Usability:

• Preis-Leistungsverhältnis (Kosten vs. Funktionen): kostenfrei (1 Punkt), Standardfunktionen vorhanden (1 Punkt), Zusatzfunktionen vorhanden (1 Punkt) – also 3 Punkte
• Werbeeinblendungen auf der Website: dezent, aber wie eine E-Mail „getarnt“, deshalb versehentlich klickbar, 2 Punkte
• Anmeldung/ Login-Prozess: einfach, 2 Punkte
• E-Mail-Versand & -Empfang: beides problemlos & einfach, 2 Punkte
• (Pflicht-)Newsletter: ja, einer von dreien nicht abbestellbar, 0 Punkte

Damit erreicht das Freemail-Angebot von Web.de bei der Usability 9 von 11 Punkten.

Rechtstexte bei GMX

Schon während der Registrierung wurden wir auf die AGB und die Datenschutzhinweise aufmerksam gemacht. Auf der Startseite können wir die Rechtstexte im Footer jederzeit einsehen. Die AGB entsprechen im Groben denen von Web.de. Die Anordnung der einzelnen Paragrafen ist etwas anders, einige Punkte sind dezent abweichend formuliert.

Unsere oben erwähnten Kritiken und Positiv-Punkte haben auch bei den GMX-AGB Bestand. Dasselbe gilt für die Datenschutzerklärung.

Zusammenfassung Rechtstexte:

• Auffindbarkeit: gut, 2 Punkte
• Verständlichkeit: gut, keine Unklarheiten, 2 Punkte
• Klarheit/ Eindeutigkeit: klar & verständlich, kein Fachchinesisch, 2 Punkte
• Inhalt: einige Mängel (konzerninterne Weitergaben; anonymisierter Sammlung & Nutzung kann widersprochen werden, jedoch braucht es keine Einwilligung für die Verwendung personenbezogener Daten für E-Mail- sowie postalische Werbung), 2 Punkte

Damit erreicht das Freemail-Angebot von GMX bei den Rechtstexten 8 von 9 Punkten.

Sicherheit bei GMX

Man merkt, dass GMX und Web.de Geschwister aus demselben Mutterkonzern sind: Auf der Login-Site begegnet uns SHA-1 als unsicherer Algorithmus. Das Interface ist durch Bilder und/oder Werbebanner unsicher verschlüsselt. Achten Sie also auch bei GMX auf die Browser-Darstellungen, um herauszufinden, wie sicher die Site verschlüsselt ist.

Um die E-Mail-Verschlüsselung einzurichten, gehen Sie vor, wie bei Web.de oben beschrieben. Auch für GMX gelten die oben angesprochenen Kritikpunkte bei der E-Mail-Verschlüsselung. Bei den sonstigen Sicherheitsfeatures hält es GMX – wenig überraschend – ebenfalls wie Web.de und verzichtet auf zusätzliche Sicherheit.

Zusammenfassung Sicherheit:

• Seitenverschlüsselung (Login-Site & Mail-Interface): aufgrund von Werbung und/ oder Grafiken nur teilweise sichere Verschlüsselung, außerdem Verwendung des veralteten SHA-1, was als unsicher gilt, 1 Punkt
• E-Mail-Verschlüsselung: ausschließlich E-Mails, die an Provider gehen, die Mitglied der Initiative „E-Mail made in Germany“ sind, werden verschlüsselt, 0 Punkte
• sonstige Sicherheitsfeatures: keine, 0 Punkte
• Serverstandorte: ausschließlich in Deutschland, 3 Punkte
• Serververschlüsselung: k. A., 0 Punkte
• Datenspeicherung auf Servern: zu viel (recht umfangreiche Registrierungsdaten, E-Mails, Dateien – mind. solange der Account besteht, maximal, solange es gesetzliche, vertragliche sowie satzungsmäßige Fristen vorsehen; außerdem Speicherung in zentraler Datei beim Mutterkonzern), 0 Punkte

Damit erreicht das Freemail-Angebot von GMX bei der Sicherheit 4 von 14 Punkten.

Web.de & GMX: Fazit

Web.de und GMX zeigten sich schon von Beginn an anstrengender als bisherige Testkandidaten: das ständige Weiterklicken, ehe man nach der Registrierung zum Postfach kommt. Das Durchlassen unsicherer Passwörter. Die Verwendung eines unsicheren SHA-1-Zertifikats und ein recht großer Umfang an Registrierungsdaten. All das störte uns sehr; die bisherigen Test-Starts waren deutlich weniger aufwendig.

Die Leistungen jedoch gehen über den Standard hinaus. Das kostenfreie Angebot ist umfangreich, die Werbeeinblendungen zeigen sich eher dezent und sind zum Teil wegklickbar. Allerdings tarnen sich einige Werbeeinblendungen als E-Mail und das kann zu Verwirrung führen.

Ein- und ausloggen funktionieren problemlos. Auch das Versenden von E-Mails klappt tadellos, der Empfang bei Web.de allerdings kann unübersichtlich werden: Nachrichten von unbekannten Absendern landen grundsätzlich erst mal im Spam. Ein unachtsames Auge kann da leicht was übersehen. GMX löst dies etwas besser und schickt jede eingehende E-Mail erst mal in den Posteingang.

Ein Pflichtnewsletter, der nicht abbestellt werden kann, ist genauso lästig wie die Tatsache, dass eine umfassende Seitenverschlüsselung Glückssache ist: Womöglich sind unverschlüsselte Inhalte mit auf der Site, sodass Ihre Sitzungen nicht sicher sein können.

Die Rechtstexte sind bestens auffindbar, verständlich und klar, weisen jedoch inhaltlich diverse Mängel auf. An Sicherheitselementen sparen GMX und Web.de fleißig; Verschlüsselung ist ein exklusives Highlight. Schade für jene, deren Kontakte andere Anbieter gewählt haben: abhörsicheres Mailen ist dann nicht möglich.

Von unseren 39 möglichen Punkten erreichen Web.de und GMX jeweils 22 Punkte.

So geht unser E-Mail-Anbieter-Test weiter

In diesem Jahr beenden wir damit unseren E-Mail-Anbieter-Test – jedoch nur für eine kleine Pause. Nächste und übernächste Woche möchten wir zum Zurück- und Vorausschauen innehalten. Im neuen Jahr testen wir für Sie weiter und nehmen die Sicherheits-E-Mail-Anbieter genauer unter die Lupe. In einer Zusammenfassung erfahren Sie dann die Stärken und Schwächen der einzelnen Anbieter – übersichtlich für Sie zusammengestellt.