Freemail

WEB.DE FreeMail: „sicheres Zuhause“ oder leere Sicherheitsversprechen?

22. September 2014
  • Freemail

WEB.DE sieht sich selbst als „Das sichere deutsche Internetportal“ und offeriert als weitere Tochter der United Internet AG die Service-Dienste „Kommunikation, Information, Suche und Entertainment“. Mehr als „15 Millionen sicherheitsbewusste Internet-Nutzer“ würden auf das Angebot von WEB.DE setzen, heißt es auf der Website weiter. Wie sicher ist das Sicherheitsverständnis von WEB.DE wirklich? Wir haben getestet:

WEB.DE: über das Unternehmen

WEB.DE wurde im Jahre 1995 gegründet. Zunächst lag der Fokus des Anbieters auf einem Internet-Katalog – nach eigenen Aussagen auf der „Über uns“-Seite Deutschlands erster Katalog dieser Art -, mittlerweile sei WEB.DE „größter Anbieter von E-Mail-Postfächern in Deutschland„. Dem Datenschutz und der Datensicherheit möchte der Konzern besondere Bedeutung beimessen. Als Marke der 1&1 Mail & Media GmbH, der auch unser erster Testkandidat GMX angehört, ist WEB.DE Teilnehmer der Initiative „E-Mail made in Germany und offeriert daneben auch die De-Mail.

Datenschutz & AGB bei WEB.DE

Die Allgemeinen Geschäftsbedingungen finden wir schnell in der Fußzeile bei WEB.DE. Der Konzern nennt zunächst den Geltungsbereich: Sämtliche Dienste und Inhalte von WEB.DE sowie dazugehörige Unterseiten und Zusatzseiten sind in die AGB eingeschlossen – außer für den FreeMail-Dienst und die damit verbundenen Dienste. Hier sind wir also falsch und unseren ersten Eindruck, dass die AGB schnell auffindbar wären, müssen wir korrigieren. Wir wählen den logischen Umweg: Ausgehend davon, dass Registrierungen in aller Regel das Bestätigen der AGB beinhalten, kommen wir nun an die korrekten AGB. Diese gelten für sämtliche registrierungspflichtigen WEB.DE-Dienste, die der Konzern an dieser Stelle gesondert aufführen möchte; leider führt der Link ins Nirwana. Wir erfahren, dass sich natürliche Personen ab dem 14. Lebensjahr registrieren dürfen; darunter ist die Einwilligung des Erziehungsberechtigten nötig. Der Dienst darf ausschließlich privat genutzt werden; bei geschäftlicher Nutzung geschieht dies „auf eigene Gefahr des Nutzers“. Weiter informiert uns der Konzern in den AGB über den Newsletterversand: Jeder Nutzer mit FreeMail-Postfach erhält den Newsletter; das Abbestellen ist nicht möglich. Bucht ein Nutzer kostenpflichtige Zusatzleistungen und kommt mit der Zahlung in Verzug, werden mit der ersten Mahnung Mahngebühren in Höhe von 5 Euro, mit der zweiten 2,50 Euro berechnet. Hinzu kommen gesetzliche Verzugszinsen und/ oder ein höherer Verzugsschaden, den WEB.DE dann nachzuweisen hat.

Die AGB regeln weiter das Urheberrecht: Sie dürfen nur Inhalte hochladen und/ oder übermitteln, die nicht gegen das Urheberrecht verstoßen. Mitteilungen, Daten und Inhalte dürfen nur versendet werden, wenn der Empfänger damit einverstanden ist. Illegale Inhalte sind ebenfalls verboten. Verstoßen Nutzer dagegen, darf WEB.DE „Empfängeradressen auf die Sperrliste setzen, wenn sich die Empfänger […] belästigt fühlen“, „die vom Nutzer hochgeladenen, gespeicherten, zum Abruf bereit gehaltenen und/ oder übermittelten bzw. verbreiteten sowie die an ihn adressierten Mitteilungen, Daten und Inhalte unverzüglich“ löschen und den Nutzer „ganz oder teilweise, vorübergehend oder dauerhaft“ von dem WEB.DE-Angebot ausschließen. Wie auch schon GMX übernimmt WEB.DE keine Gewährleistung für die Funktionalität oder Sicherheit seiner Services. Eine Haftung kann dem Konzern nur unterstellt werden, wenn WEB.DE „vorsätzliches oder grob fahrlässiges Verhalten“ zu verantworten hat. Die konkrete Höhe für Vermögensschäden ist in den AGB ebenfalls zu finden. Werden registrierungspflichtige Dienste oder deren Entgelt geändert, erfährt der Nutzer mindestens zwei Wochen vor Inkrafttreten davon. WEB.DE sowie die Nutzer sind berechtigt, die Nutzungsverhältnisse für sämtliche registrierungspflichtigen Dienste mit einer Frist von sechs Wochen ohne Begründung zu kündigen. Lässt ein Nutzer sein Postfach sechs Monate in Folge unberührt, kann WEB.DE diesem Nutzer seine Dienste mit sofortiger Wirkung kündigen. Das FreeMail-Postfach sowie sämtliche Inhalte werden „mit Wirksamwerden der Kündigung zum Ende der Vertragslaufzeit“ gelöscht.

Die Datenschutzerklärung enthält dieselben Inhalte, die wir bereits von GMX kennen. Diese gelten übrigens auch für freenet.de; ebenfalls einer Tochter der United Internet-Konzernfamilie und Mitglied der Initiative „E-Mail made in Germany“.

Der Registrierungsprozess bei WEB.DE

Dass WEB.DE und GMX zum selben Konzern gehören, wird spätestens dann sichtbar, wenn Sie sich registrieren möchten: Neben dem Formular begegnet uns wieder der Umzugsservice, den wir bereits bei GMX verschmähten. Auch die Formularfelder sind dieselben:

  • Anrede
  • Vor- und Zuname
  • Land
  • PLZ/ Ort
  • Geburtstag
  • Kontakt-E-Mail-Adresse bzw. Handynummer (falls Sie Ihr Passwort vergessen, kann es dorthin versendet werden)

Wir sind gespannt, ob auch WEB.DE unsichere Passwörter als halbwegs bis ganz sicher ansieht: „12345678“ wird uns auch hier gelb angezeigt, bei „Passwort“ bleibt diese Sicherheitsampel auf gelb und bei „Passwort123“ sind wir – wie schon bei GMX – im grünen Sicherheitsbereich. Möchten Sie darauf verzichten, dass WEB.DE all Ihre Kontakte und E-Mails aus Ihrem anderen Account saugt, müssen Sie am Ende des Registrierungsformulars das Häkchen vor dieser Option entfernen. Mit einem Klick auf „Ich stimme zu. Jetzt E-Mail Konto anlegen.“ bestätigen Sie die AGB und Datenschutzregelungen. WEB.DE heißt uns herzlich willkommen und hat gleich ein Angebot parat: Für monatlich 5 Euro können wir die Premium-Funktionen des WEB.DE Clubs freischalten. Auch das erinnert uns stark an GMX – die gemeinsame Konzernmutter hat offenbar dafür gesorgt, dass sich die einzelnen Services nicht zu sehr unterscheiden. Wie schon bei GMX finden wir einen Riesen-Button, um das Premium-Angebot zu bestätigen (leider nicht mal mit einem Hinweis wie „Kaufen“ oder ähnliches, sondern nur mit den nicht sehr aussagekräftigen Worten „AGB bestätigen“ – das kann missverständlich sein!), und einen winzigen Button, um zu unserem Postfach zu gelangen. Wir entscheiden uns für Option zwei und werden von einem Pop-up-Fenster begrüßt, das uns noch mal den Umzugsservice schmackhaft machen möchte. Wir verzichten und klicken uns weiter ins Postfach, in dem bereits drei Nachrichten warten: Eine, die den Umzugsservice anpreist, eine, die unsere Account-Details verrät und zum Support verlinkt, und eine dritte, die unsere „Willkommensüberraschung“ zeitlich auf wenige Tage begrenzt und die Musik-Flatrate bewirbt. Das bedeutet: Bei GMX müssen Sie eine Willkommensüberraschung mehr wegklicken als bei WEB.DE, dafür bekommen Sie bei WEB.DE eine Werbemail mehr.

WEB.DE FreeMail: Produktdetails

WEB.DE inkludiert im FreeMail-Angebot die folgenden Leistungen:

  • E-Mail-Speicher: 12 MB Standard; bei Aktivierung der Toolbar („MailCheck“) 1 GB.
  • Online-Speicher: 2 GB kostenfrei; weitere Tarife stellt WEB.DE hier zusammen.
  • SMS/ MMS: keine Frei-SMS/ -MMS; jede SMS wird mit 15 Ct., jede MMS mit 49 Ct. berechnet.
  • SMS-Benachrichtigungen: nein
  • Viren-/Spamschutz: Jeweils in der Basic-Variante (= automatischer Viren-/Spamcheck aller ein- und ausgehenden E-Mails). Premium-Schutz können Sie im WEB.DE Club aktivieren. Filterregeln können auch im kostenfreien Angebot erstellt werden.
  • Backup: nein
  • Verschlüsselung: Login (SSL/HTTPS), Webdienst (SSL/HTTPS), E-Mails verschlüsselt empfangen (POP3-SSL) und versenden (SSMTP & StartTLS).
  • File-Sharing: ja
  • Kalender & Organizer: ja & nein
  • Adressbuch: ja
  • E-Mail-Adressen pro Account: 4 (@email.de)
  • Fun-E-Mail-Adressen: 15 (z. B. @action.ms, @wichtig.ms oder @cool.ms)
  • max. Größe für Dateianhänge: 4 MB (Empfang & Versand)
  • max. speicherbare E-Mails: 500
  • Fax-Empfang: ja, im PDF
  • Rechtschreibprüfung: in 9 Sprachen
  • Einschreibe-E-Mails: ja
  • E-Mail-Weiterleitung & Abwesenheitsschaltung: ja
  • E-Mail-Speicherdauer: unbegrenzt
  • E-Mail-Suche & -Filter: ja
  • Verteilerlisten: ja
  • persönliche Ordner: max. 40
  • externe Postfächer abrufen: ja, maximal 4 POP3-Postfächer
  • POP3-Zugriff: ja
  • IMAP-Zugriff: nur im WEB.DE Club
  • POP3-Abruf-Intervall: 15 Min.
  • Push-Service fürs Handy: nein
  • mobile WEB.DE-Version: ja, mm.web.de
  • Mail-Apps für iOS und Android: ja, Informationen auf dieser Seite
  • Postfach-Deaktivierung: nach 6 Monaten Inaktivität
  • Telefon-Support: 3,99 € pro Anruf
  • Newsletter WEB.DE Best Price: kann abbestellt werden
  • allgemeiner Newsletter: ja, kann nicht abbestellt werden

Vorsicht vor Abo-Fallen auch bei WEB.DE

Dass Eigenwerbung auch bei WEB.DE ziemlich viel Platz einnimmt, haben wir bereits während der Registrierung gemerkt. Bitte lesen Sie sich den Abo-Fallen-Abschnitt unseres vorigen Testberichts durch; die Warnungen, die Verbraucherschützer und weitere Experten für GMX ausgesprochen haben, gelten genauso für WEB.DE.

Usability bei WEB.DE: GMX in Gelb

Dass das Interface von WEB.DE dem von GMX so sehr ähnelt, ist sicherlich der gemeinsamen Konzernmutter geschuldet. Im Großen und Ganzen ist WEB.DE GMX in Gelb: Menüführung und Einstellungen sind im Wesentlichen gleich und was bei GMX mit „Pro“ oder „Top“ benannt wurde, nennt sich bei WEB.DE „WEB.DE Club“. Mit Abschluss dieses Clubs (jährlich 60 Euro) können Sie Ihren Account wesentlich erweitern und auch die Startseite personalisieren, wofür WEB.DE diverse Smileys und Templates bereitstellt. Einige Hintergrundbilder mehr als bei GMX können Sie kostenfrei auswählen. Daneben können Sie entscheiden, ob Ihnen auf Ihrer Startseite Ihre WEB.Cent, die WEB.DE-interne Währung, Prospekte, eine Übersicht über Ihren Online-Speicher und der E-Mail-Status-Smiley angezeigt oder ausgeblendet werden sollen. Auch die Startseite von WEB.DE ist extrem werbebelastet: Sowohl eigene als auch konzernfremde Produkte und Dienstleistungen werden rund um Ihre Accountinfos angezeigt.

Möchten Sie eine E-Mail schreiben, gilt für die Verschlüsselung dasselbe wie bei GMX: Ein grünes Häkchen symbolisiert verschlüsselte E-Mails, was lediglich bei den Teilnehmern der Initiative „E-Mail made in Germany“ angezeigt wird. Jedoch begegnet uns auch etwas Neues: Unter „Optionen“ können wir angeben, ob wir starke (256 bit), mittlere (168 bit), normale (128 bit) oder keine Verschlüsselung möchten. Für unseren Testversand wählen wir starke Verschlüsselung, suchen ein Briefpapier aus, fügen noch einen Smiley mit ein, versenden mit hoher Priorität, vertraulich und fordern eine Lesebestätigung an. Nach dem Versandversuch lesen wir: „Mail kann nicht verschlüsselt werden. Der Empfänger muss Ihnen zuerst eine Mail mit digitaler Unterschrift senden.“ Nehmen wir die Verschlüsselung heraus, können wir unsere Testmail auf den Versandweg bringen. Ob die Versandbestätigung ausgeliefert wird, bestimmt der Empfänger, sodass diese Angabe unzuverlässig ist. Die Priorität hat der Testempfänger unserer E-Mail genauso gesehen wie unsere digitale Signatur.

Alles in allem ist das Handling bei WEB.DE einfach: Intuitiv navigieren Sie sich durchs Menü und finden sich zügig zurecht. Wie schon bei GMX ist die Masse an Werbung auch bei WEB.DE recht anstrengend, dafür erhalten Sie allerdings ein kostenloses Postfach. Upgraden Sie, können Sie die Funktionalität erweitern; sehen Sie sich aber vor etwaigen Abo-Fallen vor.

WEB.DE: Wie sicher ist die Verschlüsselung?

Möchten Sie mit WEB.DE mailen, ist der erste Weg – wie schon bei GMX – der zur Startseite. Die Verbindung zu dieser ist nicht verschlüsselt, wenn Sie einfach „web.de“ in die Adressleiste eingeben, deshalb ist es auch hier empfehlenswert, dass Sie sich die HTTPS-Version der Startseite als Favorit speichern und sie nur über diesen Link ansteuern. Weitergeleitet werden Sie zum verschlüsselten Backend, das – wie schon bei GMX – auf hochgradige Verschlüsselung mit Perfect Forward Secrecy (PFS, weiterführende Infos: „Knowledgebase: Perfect Forward Secrecy„) setzt (TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, 256-bit-Schlüssel). Auch WEB.DE nutzt SHA-1 als Hashalgorithmus; eine eher antiquierte Technologie, die künftig auch keine Chance mehr im Browser Google Chrome hat und längst schon durch ihren Nachfolger SHA-2 abgelöst gehört. Unsere versendete Test-E-Mail nutzte TLS in der Version 1.0 und 256-bit-AES-Verschlüsselung. Allerdings waren diese Verschlüsselungsparameter erst möglich, nachdem wir vom Testempfänger eine E-Mail mit Signatur erhalten haben.

Bei WEB.DE gilt, was auch für GMX gut zu wissen ist: Sämtliche Daten (E-Mails, Adressbucheinträge usw.) sind ausschließlich auf dem Transportweg verschlüsselt! Alle persönlichen Daten werden bei der Muttergesellschaft an zentraler Stelle verwaltet und dürfen bei „berechtigtem Interesse“ innerhalb der Konzernfamilie weitergeleitet werden. Der Konzern kann also bei Ihnen mitlesen. Grundsätzlich transportverschlüsselt sind ausschließlich die E-Mails, die Sie an Empfänger senden, deren Provider ebenfalls Teilnehmer der Initiative „E-Mail made in Germany“ sind. Wählen wir den Menüpunkt „E-Mail schreiben“, ergibt sich dasselbe Problem, das wir bereits von GMX kennen: „Verbindung teilweise verschlüsselt – Teile der Seite, die Sie ansehen, wurden nicht verschlüsselt, bevor sie über das Internet übertragen wurden“, meldet unser Browser.

WEB.DE: Fazit & Zusammenfassung

Nutzer, die kostenfrei mailen möchten, ohne vermeintlich hilfreiche Features wie die WEB.DE-Toolbar installieren zu müssen, stoßen bei WEB.DE schnell an ihre Grenzen: 12 MB Speicherkapazität für E-Mails ist ungewöhnlich wenig. Stellen Sie sich vor, Sie nutzen die Versandkapazität von den ebenfalls recht knapp bemessenen 4 MB pro Mail aus – etwa wenn Sie Fotos versenden oder empfangen möchten. Einkalkulieren sollten Sie auch die Werbenewsletter, die Sie bei WEB.DE nicht abbestellen können. Dass für den Telefon-Support knappe 4 Euro berechnet werden, ist bei WEB.DE genauso dreist wie bei GMX; dasselbe gilt für vermeintliche Gratis-Angebote, die Sie in Abo-Fallen locken können.

Positiv zu bewerten ist, dass der Spam- und Virenschutz bei WEB.DE für ein- und ausgehende E-Mails greift (bei GMX nur für eingehende E-Mails). Auch die starke und PFS-unterstützende Verschlüsselung des Backends begeistert – bis zu dem Moment, in dem Sie eine E-Mail versenden möchten und auf eine nur teilweise verschlüsselte Seite gelangen. Dass die Transportverschlüsselung für E-Mails in ihrer Stärke eingestellt werden kann, sehen wir eher als Spielerei – welchen Sinn soll es haben, E-Mail A schwächer zu verschlüsseln als E-Mail B oder die Verschlüsselung komplett auszuhebeln? Wir würden es lieber sehen, wären alle E-Mails grundsätzlich stark verschlüsselt – nicht nur die, die an „E-Mail made in Germany“-Provider versendet werden. Eine starke Verschlüsselung möchten wir auch auf den Servern der Muttergesellschaft sehen. Möchten Sie WEB.DE verwenden, stellen Sie sich darauf ein, viel Werbung zu Gesicht zu bekommen; Ihr tatsächlicher E-Mail-Bereich ist relativ klein, der restliche Bildschirm ist mit blinkender Werbung besetzt.

  • Sitz des Unternehmens: Karlsruhe (Mutter United Internet AG in Montabaur)
  • AGB & Datenschutz: Datenschutzvereinbarung gut auffindbar, AGB erst über Umwege, beides größtenteils eindeutig und klar formuliert
  • Werbeversand: ja, per Post & E-Mail, konzerninterne Werbung nicht abbestellbar
  • Registrierung: einfach, aber durch Produktwerbung unterbrochen
  • Registrierungsdaten: Anrede, Vor- und Zuname, Land, PLZ/ Ort, Geburtstag, Kontakt-E-Mail-Adresse bzw. Handynummer
  • Passwortsicherheitskontrollen: unzureichend
  • E-Mail-Speicher: 12 MB
  • max. Größe für Dateianhänge: 4 MB (Empfang & Versand)
  • Cloud-Speicher: 2 GB
  • sonstige Features: Spam-/ Virenschutz für ein-/ ausgehende E-Mails, Kalender, File-Sharing, Adressbuch, vier zusätzliche E-Mail-Adressen + 15 Fun-E-Mail-Adressen, unbegrenzte Aufbewahrungszeit, Fax-Empfang im PDF, Rechtschreibprüfung in 9 Sprachen, Einschreibe-E-Mails, E-Mail-Weiterleitung & Abwesenheitsschaltung, E-Mail-Suche und -Filter, Verteilerliste, bis zu 40 persönliche Ordner, mobile Version und Apps für iOS & Android
  • Support/ Hilfe: kostenpflichtiger Telefonsupport (3,99 €/ Anruf) & kostenfreie Hilfeseiten
  • Abofallen bekannt: ja
  • Handling/ Usability: im Wesentlichen intuitiv, sehr werbelastig, insgesamt okay
  • Webseitenverschlüsselung: stark
  • Backend-Verschlüsselung: unzureichend
  • E-Mail-Verschlüsselung: kritikwürdig
  • PFS: ja
  • Serverstandort: Deutschland



4 Kommentar(e)

Schreibe einen Kommentar

Auf dieses Thema gibt es 4 Reaktionen

  1. Frank B | 25. Oktober 2014

    Guten Tag,
    ich nutze seit mehreren Jahren die WEB.de Club-Email. Ich finde insbesondere dort die Aussonderung von SPAM-Mails hilfreich. Und auch die Tatsache, dass ich selber entscheide, ob ich Anhänge herunterlade oder gleich lösche.
    Sind die von Ihnen genannten Verschlüsselungsprobleme bei der Club-Email identisch mit denen von freemail?
    Danke fuer kurze Antwort und freundliche Gruesse aus Bleckede an der Elbe
    Frank B

    25. Oktober 2014 @ 22:56 Antworten
    • Bianca Wellbrock | 27. Oktober 2014

      Hallo Frank,

      danke für die Ergänzung der Features & Ihre Meinung. Leider ziehen sich die Verschlüsselungsprobleme durch sämtliche Angebote von WEB.DE – der Anbieter offeriert keine unterschiedlichen Merkmale bezüglich der Sicherheit.
      Deshalb haben wir beschlossen, unsere Testreihe auch um kostenpflichtige Anbieter zu erweitern – in der Hoffnung, dass uns die Sicherheitsversprechen dann zufriedenstellen.

      27. Oktober 2014 @ 12:14 Antworten
  2. matt | 29. November 2014

    web.de hat seit 23.11. auf 1Gb Standard Postfachgröße für „Freemail“ und auf 10000MB (9.77GB) als Bonus für Benutzung der „MailCheck“Ttoolbar geändert, Versand/Empfang bis 20MB(whrs. Brutto)

    der IMAP Zugang ist jetzt auch für „Freemail“ verfügbar

    s. vgl: https://produkte.web.de/club/layer100/

    29. November 2014 @ 03:18 Antworten