E-Mail-Programme sind ein zentraler Bestandteil der digitalen Kommunikation und verarbeiten häufig besonders schützenswerte Inhalte. Vor diesem Hintergrund hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Rahmen seiner Marktbeobachtung zwölf kostenfrei verfügbare und in Deutschland relevante E-Mail-Clients untersucht. Analysiert wurden Apple Mail, Betterbird, Blue Mail, eM Client, Gmail, KMail, Mailbird, Outlook (new), Proton Mail, Spark Mail, Thunderbird und Tuta Mail.

Verschlüsselung und Datensicherheit

Ein Schwerpunkt der Untersuchung lag auf der Verschlüsselung. Alle getesteten Programme unterstützen Transportverschlüsselung per TLS, die den Datenverkehr zwischen Client und Mailserver absichert. Deutlich uneinheitlicher fällt das Bild bei der Ende-zu-Ende-Verschlüsselung aus. Apple Mail, Betterbird, eM Client, KMail, Thunderbird und Tuta Mail unterstützen S/MIME und/oder OpenPGP nativ, teils ergänzt durch Plugins. Gmail und Outlook (new) setzen hingegen primär auf browser- oder anbieterseitige Lösungen, während Blue Mail und Spark Mail keine native Ende-zu-Ende-Verschlüsselung bereitstellen.

Ein technischer Schwachpunkt bleibt die Speicherung von E-Mails und Zugangsdaten. Die Mehrheit der getesteten Programme – darunter Thunderbird, Apple Mail, Mailbird und Blue Mail – speichert E-Mails lokal auf dem Endgerät, häufig im Klartext. Zwar nutzen einige Clients Betriebssystem-Mechanismen oder optionale Masterpasswörter zum Schutz der Zugangsdaten, dennoch können lokal abgelegte Postfächer bei Gerätekompromittierung vergleichsweise leicht ausgelesen werden. Outlook (new) fällt hier aus dem Rahmen, da E-Mails überwiegend cloudbasiert gespeichert werden, was die Sicherheitsverantwortung stärker zum Anbieter verlagert.

Schutz vor Phishing und Tracking

Auch beim Umgang mit Phishing, Spam und schädlichen Inhalten zeigen sich Unterschiede. Nahezu alle Programme verfügen über Spam- und Junkfilter. Explizite Warnungen bei verdächtigen Phishing-Links oder manipulierten Absendern bieten unter anderem Betterbird, eM Client, Gmail, KMail, Proton Mail, Thunderbird und Tuta Mail. Deutlich restriktiver ist das Feld bei der Behandlung von Anhängen: Nur wenige Clients, darunter Gmail, KMail und Proton Mail, prüfen potenziell gefährliche Dateitypen oder blockieren sie aktiv, bevor Nutzer sie öffnen können.

Insgesamt bewertet das BSI die getesteten E-Mail-Programme als überwiegend sicher, sieht jedoch Verbesserungspotenzial bei Security-by-Default und Usable Security. Sicherheitsrelevante Funktionen wie Verschlüsselung, Bild-Tracking-Schutz oder sichere Authentifizierungsverfahren müssten häufiger standardmäßig aktiviert und verständlicher umgesetzt werden. Für Anwender bedeutet das: Die Wahl des E-Mail-Programms hat direkten Einfluss auf das eigene Sicherheitsniveau – und technisches Nachjustieren bleibt in vielen Fällen unvermeidlich.